DNSSEC
電子署名で応答の検証(正しいDNSからの返答か)ができる仕組み。
RRSetが署名対象のデータになる。署名者は署名済みのゾーンデータと、署名に使用した鍵ペアの公開鍵をゾーンデータとして権威サーバーで公開。
リゾルバーがバリデーターとなって署名の検証をおこなう。
DSリソースレコードの更新頻度をさげるために、DNSKEYリソースレコードを署名する鍵とRRSetを署名する鍵をわけて管理する。
- Key Signing Key(KSK: 鍵署名鍵)
- DNSKEYを署名するための鍵
- DSリソースレコードとして親ゾーンに登録する
- Zone Signing Key(ZSK: ゾーン署名鍵)
- 自分のゾーンの署名をする鍵
- ZSKのDNSKEYはKSKで署名する
信頼チェーン
そのゾーンで公開している公開鍵が信頼できることを親ゾーンの秘密鍵で署名し、公開すること(DSリソースレコード)で公開鍵の信頼性を担保する。