Применение DNSSEC
Действие DNSSEC основано на использовании так называемых подписанных зон (Signed Zones), под которыми подразумеваются зоны, чьи записи подписываются в соответствии с требованиями, изложенными в RFC-4035. В каждой подписанной зоне могут содержаться записи одного и более новых типов DNSEC, к числу которых относятся записи DNSKEY, NSEC, RRSIG и DS. Эти записи обеспечивают проверку данных DNS на предмет правильности преобразователями.
Для подписания зоны применяется специальный ключ шифрования, который называется ключом ZSK (Zone Signing Key — ключ для подписания зоны) и, по сути, представляет собой состоящую из открытого и закрытого ключа комбинацию, хранимую в сертификате. Для подписания ключа ZSK и тем самым обеспечения проверки его правильности и, по сути, корректности комбинации из открытого и закрытого ключа, применяется еще один ключ, который называется ключом KSK (Key Signing Key — ключ для подписания ключа).
Записи DNSKEY (DNS Public Key) применяются в DNSSEC для хранения открытых ключей. Хранение открытых ключей KSK и ZSK в этих записях обеспечивает возможность выполнения проверки на предмет правильности подписей зон.
Записи NSEC (Next Secure) применяются в DNSSEC для подтверждения не существования того или иного имени в DNS и позволяют клиентам DNS в случае не извлечения записи при просмотре DNS иметь уверенность в том, что такой записи в зоне DNSSEC не существует.
Записи RRSIG (Resource Record Signature) применяются для хранения подписей, принадлежащих записям в DNS. Например, для каждой записи А будет обязательно существовать соответствующая запись RRSIG. Для каждой записи NSEC тоже будет обязательно существовать такая соответствующая ей запись.
Записи DS (Delegation Signer) применяются для защиты делегируемых другим серверам DNS полномочий и подтверждения их правильности и не позволяют используемым для атак типа "человек посередине" серверам DNS разрывать цепочку защиты во время рекурсивных просмотров.
Защищенные преобразователи DNSSEC
Кроме того, в DNSSEC применяется понятие так называемых не проверяющих правильность защищенных оконечных преобразователей (Non-Validating Security-Aware Stub Resolver). Под ними подразумеваются такие защищенные (security-aware) преобразователи, которые доверяют выполнять проверку на предмет правильности DNSSEC от их имени одному или более защищенным DNS-серверам. Все клиенты DNS, которые функционируют под управлением Windows, являются не проверяющими правильность защищенными оконечными преобразователями. Это означает, что они не проверяют, являются ли записи DNS защищенными, а вместо этого неявным образом доверяют это делать серверу DNS. Для этого они просто помечают запросы к DNS флагами в соответствии с требованиями, указанными в таблицы NRPT и затем ожидают, когда DNS-сервер выполнить проверку вместо них. Сервер DNS возвращает результаты в любом случае и указывает, прошла ли проверка DNSSEC успешно. В случае, если проверка прошла успешно, Windows-клиенты DNS передают результаты далее тому приложению, которое первоначально запрашивало поиск в DNS.