DNS là gì?

DNS (Domain Name System) là khối hệ thống phân giải tên miền, được cho phép thiết lặp links giữa một thương hiệu miền cùng một IPhường của dòng sản phẩm công ty, góp cho những người truy cập chỉ cần lưu giữ những tên miền mà lại không cần thiết phải quyên tâm cho những hệ trọng IP thông qua số. Nó như là một danh bạ Smartphone bên trên Internet.

Bạn đang xem: Dnssec là gì

DNSSEC là gì? Tìm hiểu về DNS và DNSSEC

Việc gọi DNSSEC trước tiên cần có kiến ​​thức cơ bản về phương thức buổi giao lưu của hệ thống DNS. DNS được thực hiện để dịch tên miền (như infobandarpkr.com ) thành liên hệ Internet số (nlỗi 127.1.0.121).

Mặc cho dù hệ thống ảnh hưởng này cực kỳ công dụng đối với laptop để gọi cùng giải pháp xử lý dữ liệu, dẫu vậy này lại rất là khó lưu giữ đối với bé fan. Giả sử rằng mỗi khi chúng ta nên đánh giá một trang web, chúng ta nên lưu giữ tác động IPhường của dòng sản phẩm mà nó được đặt. Mọi tín đồ hay call hệ thống DNS là “danh bạ điện thoại thông minh của Internet”.

Để giải quyết và xử lý vấn đề này, một hệ trọng IP dạng số đã có được tích hợp số đông thương hiệu miền. Các xúc tiến website nhưng công ty chúng tôi biết thực thụ là tên miền.

tin tức tên miền được lưu trữ với truy vấn bên trên những sever quan trọng, được call là sever thương hiệu miền, biến đổi tên miền thành tương tác IPhường. cùng ngược trở lại.

Cấp tối đa của DNS bên trong vùng gốc, nơi tất cả cửa hàng IP. và tên miền được giữ giàng trong các đại lý dữ liệu cùng được sắp xếp theo tên miền cấp cho tối đa, ví dụ như .com, .net, .org, v.v.

Khi DNS lần đầu tiên được xúc tiến, nó không được bảo mật và tức thì sau khi được chính thức được đưa vào và sử dụng, một trong những lỗ hổng đã làm được phát hiện nay. Kết quả là, một hệ thống bảo mật đã có được cải cách và phát triển dưới dạng những phần không ngừng mở rộng rất có thể được chế tạo những giao thức DNS hiện tại gồm.

Tiện ích không ngừng mở rộng bảo mật hệ thống thương hiệu miền (DNSSEC) là một tập hợp những giao thức bổ sung cập nhật một tấm bảo mật mang lại quá trình tra cứu vãn và trao đổi hệ thống tên miền (DNS), vốn đã trở thành một trong những phần không thể không có trong việc truy vấn những website trải qua Internet.

Ưu điểm của DNSSEC

DNSSEC nhằm mục tiêu củng núm lòng tin trên Internet bằng cách góp bảo đảm người tiêu dùng khỏi đưa tìm hiểu các website lừa đảo với những ảnh hưởng không mong muốn. Bằng cách đó, những chuyển động ô nhiễm như lây lan độc bộ lưu trữ cache, dược phẩm và các cuộc tiến công man-in-the-middle rất có thể được ngăn chặn.

DNSSEC tuyệt đối bài toán phân giải tác động IPhường bằng chữ cam kết mật mã, để bảo vệ rằng các câu vấn đáp vị máy chủ DNS cung ứng là hợp lệ với đảm bảo. Trong ngôi trường vừa lòng DNSSEC được kích hoạt đúng chuẩn đến thương hiệu miền của chúng ta, khách hàng truy cập có thể được đảm bảo an toàn rằng bọn họ đang kết nối với trang web thực tương ứng với cùng một tên miền cụ thể.

DNSSEC hoạt động như vậy nào

Mục đích lúc đầu của DNSSEC là đảm bảo an toàn sản phẩm khách Internet khỏi tài liệu DNS hàng fake bằng phương pháp xác minh chữ ký kết số được nhúng trong tài liệu.

lúc khách hàng truy vấn nhập thương hiệu miền vào trình để mắt tới, trình phân giải đang xác minh chữ cam kết số.

Nếu chữ ký điện tử vào tài liệu khớp cùng với chữ cam kết số được lưu trữ trong máy chủ DNS chủ yếu, thì dữ liệu được phxay truy cập vào máy khách hàng thực hiện hưởng thụ.

Chữ cam kết số DNSSEC bảo đảm an toàn rằng bạn đang tiếp xúc cùng với website hoặc vị trí Internet cơ mà chúng ta định truy cập.

DNSSEC thực hiện khối hệ thống khóa công khai và chữ cam kết số nhằm xác minch dữ liệu. Nó chỉ đơn giản là thêm những bản ghi mới vào DNS với các bạn dạng ghi hiện tại bao gồm. Các các loại phiên bản ghi bắt đầu này, chẳng hạn như RRSIG cùng DNSKEY, có thể được truy hỏi xuất Theo phong cách tựa như nlỗi các phiên bản ghi thường thì nhỏng A, CNAME và MX.

Những bạn dạng ghi mới này được sử dụng nhằm "ký" một miền kỹ thuật số, sử dụng một cách thức được hotline là mật mã khóa công khai.

Máy công ty định danh đã ký kết gồm khóa công khai với khóa riêng tứ cho mỗi vùng. Khi ai kia giới thiệu đòi hỏi, nó đang gửi thông tin được ký bằng khóa riêng rẽ của nó; sau đó fan dìm vẫn msống khóa nó bằng khóa công khai. Nếu mặt thiết bị bố cố gắng gửi thông tin không tin cậy, bên đồ vật bố sẽ không msinh sống khóa đúng cách dán bằng khóa công khai, do vậy bạn thừa nhận đang biết công bố đó là không tồn tại thiệt.

Lưu ý rằng DNSSEC không cung ứng tính bảo mật tài liệu vị nó ko bao hàm các thuật tân oán mã hóa. Nó chỉ với các khóa quan trọng nhằm bảo đảm tài liệu DNS là bao gồm hãng sản xuất tuyệt thực thụ không tồn tại sẵn.

Xem thêm: What Is The “ System Interrupts Là Gì, System Interrupts Là Gì

Ngoài ra, DNSSEC không đảm bảo an toàn khỏi các cuộc tấn công DDoS.

Các khóa được DNSSEC sử dụng

Có nhị loại khóa được DNSSEC sử dụng:

· Khóa ký vùng (ZSK) - được sử dụng nhằm ký với chứng thực các cỗ hồ sơ cá thể trong vùng.· Khóa ký kết chính (KSK) - được sử dụng nhằm ký các phiên bản ghi DNSKEY trong vùng.

Cả nhị khóa này phần đông được tàng trữ dưới dạng phiên bản ghi "DNSKEY" vào tệp vùng

Bản ghi DS là viết tắt của Người ký ủy quyền cùng nó đựng một chuỗi duy nhất của khóa công khai của khách hàng cũng giống như cực kỳ tài liệu về khóa, ví dụ như thuật toán nhưng nó sử dụng.

Mỗi bản ghi DS bao gồm bốn trường: KeyTag, Algorithm, DigestType cùng Digest với tất cả dạng nlỗi sau:

infobandarpkr.com 3600 IN DS ( 20326 13 2 e06d44b80b8f1d39a95c0b0d7c65d08458e880409bbc683457104237c7f8ec8d )Chúng ta có thể phân chia nhỏ tuổi những thành phần khác biệt của bản ghi DS giúp thấy từng phần đựng ban bố gì:

infobandarpkr.com - tên miền nhưng DS dành riêng cho.3600 - TTL, thời gian nhưng bản ghi rất có thể vẫn tồn tại trong bộ nhớ cache.IN là viết tắt của internet.20326 - Thẻ khóa, ID của khóa.13 - kiểu thuật toán thù. Mỗi thuật toán được phxay vào DNSSEC bao gồm một trong những cụ thể. Thuật toán thù 13 là ECDSA với đường cong P-256 thực hiện SHA-256.2 - Loại thông báo hoặc hàm băm được thực hiện để tạo thông báo trường đoản cú khóa công khai.Chuỗi lâu năm làm việc cuối là Thông báo hoặc mã băm của khóa công khai minh bạch.

Tất cả các phiên bản ghi DS cần tuân hành RFC 3658

Làm biện pháp làm sao nhằm kiểm tra DNSSEC cho thương hiệu miền của doanh nghiệp ?

Một cơ chế giỏi cơ mà chúng ta có thể áp dụng nhằm kiểm tra DNSSEC tất cả tại:

https://dnssec-analyzer.verisignlabs.com/Nhập miền của công ty vào hộp tra cứu tìm cùng nhận Enter trên bàn phím của bạn:

Lúc các bạn bật DNSSEC lần trước tiên bên trên website của chính bản thân mình, nó vẫn hiển thị vùng của chúng ta là "vẫn ký" mà lại "ko an toàn" (search thấy những bản ghi DS, tuy nhiên, DNSKEY và RRSIG không tồn tại):

Sau lúc Tổ chức ĐK thương hiệu miền của chúng ta vẫn xuất bạn dạng làm hồ sơ DS, rất có thể tức thì mau lẹ hoặc một hoặc 2 ngày sau đó khi chúng ta thêm hồ sơ DS vào tổ chức triển khai đăng ký tên miền của bản thân, làm hồ sơ của bạn sẽ được đánh dấu là "an toàn":

Nameservers cùng TLD được DNSSEC cung cấp hay không hỗ trợ?

Có nhì khía cạnh của DNSSEC - Ký cùng Xác thực; cùng nhau, bọn chúng hỗ trợ mức độ bảo mật thông tin cao hơn nữa bởi vì DNSSEC cung ứng. Cả hai bên gần như cần thiết đến vấn đề triển khai toàn diện và tổng thể, nhưng cả hai phần nhiều được tiến hành cá biệt.

Đăng ký

Miền của doanh nghiệp được "ký" vì chưng công ty điều hành quản lý của máy nhà định danh có thđộ ẩm quyền đến miền của người sử dụng. Các sever định danh này có thể được quản lý do đơn vị cung cấp DNS, tổ chức đăng ký thương hiệu miền nhưng các bạn đang ĐK miền (cũng cung ứng hình thức DNS mặc định) hoặc bởi vì nhà cung ứng hình thức tàng trữ website hỗ trợ các dịch vụ lưu trữ DNS hoặc sever DNS gồm thđộ ẩm quyền của riêng biệt các bạn (hoặc của fan phi thường sẽ xuất phiên bản miền đại diện đến bạn).

Về cơ bản, nghỉ ngơi phía ký kết của DNSSEC, tiến trình trông y hệt như sau:

Người đăng ký tên miền bật DNSSEC lân cận DNS mà miền thực hiện.Nhà quản lý DNS lưu trữ những phiên bản ghi DNS vẫn cam kết bọn chúng bởi các khóa DNSSEC.

Là một trong những phần của quy trình, bọn họ sẽ khởi tạo bản ghi DS (Người ký ủy quyền) bắt buộc được hỗ trợ mang đến vùng người mẹ (hay là miền cấp cho tối đa (TLD)) để xong "chuỗi tin cẩn toàn cầu".

Đó là một trong chuỗi những tra cứu vớt xác nhận bằng chữ ký kết hiện đại số các thương hiệu miền của cơ mà đóng góp chặt theo trải đời thông qua toàn bộ các nút tra cứu giúp. Như vậy bảo vệ rằng không tồn tại giả mạo hoặc lắp thêm nghe nhạc phạm pháp hoàn toàn có thể trượt vào con phố tìm kiếm tìm với chuyển làn phân cách tìm tìm mang đến một website hàng nhái.

Người đăng ký tên miền bắt buộc cung ứng làm hồ sơ DS này cho quý doanh nghiệp đăng ký tên miền. Hệ thống của doanh nghiệp ĐK phải có thể chấp nhận các bạn dạng ghi DS với gửi chúng đi.

Tùy lựa chọn làm chủ DNSSEC không khả dụng cho những TLD sau:

.africa, .ai, .berlin, .ch, .click, .centimet, .com.au, .com.es, .com.pe, .country, .de, .desay mê, .diet, .es, .eu , .fr, .gg, .hamburg, .help, .hiphop, .hosting, .how, .li, .lol, .ltda, .mom, .net.cn, .net.pe, .nl, .nom. es, .nu, .org.cn, .org.es, .org.pe, .paris, .pe, .property, .protection, .sg, .ski, .soy, .sucks, .tattoo, .to lớn, .voting.