Mi az a DNS?
Kezdjük a DNS-sel (a Domain Name System rövidítése), erről többet lehet hallani.
Az interneten található számítógépeket és ezáltal például a rajtuk levő tartalmakat elsődlegesen számok, az ún. IP címek azonosítják. Ugyanakkor pl. a 193.41.47.33 címet bajos lenne megjegyezni, az iszt.hu-t sokkal könnyebb. A DNS eredeti, elsődleges feladata pontosan ezeknek a számoknak és neveknek az összerendelése. A nevek és az IP címek összerendelésén túl azonban a DNS sokkal több információt rejt. A DNS minden internetes tevékenység – levelezés, böngészés, torrentezés vagy internetes telefonálás – működéséhez szükséges.
Mindez azért veszélyforrás, mert internetes kalózok pl. eltéríthetnek, meghamisíthatnak adatforgalmat, ezáltal tartalmat, megtéveszthetnek internet használókat és sok egyéb gazságot művelhetnek.
A DNS ellen az évtizedek során több jelentős sikeres támadást hajtottak végre, ezért a DNS-t védeni szükséges minden internetes tevékenység/szolgáltatás védelme érdekében.
Mi az a DNSSEC?
A fent leírt veszélyekkel szemben a DNSSEC segítségével az internetes szolgáltatók védekezhetnek minden DNS elleni támadás, üzenet hamisítás ellen. A DNSSEC fő ötlete, hogy a DNS válaszokat digitális aláírással látja el. Ilyen módon az üzenetek hitelességét (authenticity) és sértetlenségét (integrity) garantálja.
Ez garantálja pl. azt, hogy egy internet használó ténylegesen azt a weboldalt látogassa meg és azzal kommunikáljon, amelyikkel szeretett volna.
A DNSSEC a bizalmasságot (titkosítás, confidentiality) nem garantálja. Ugyanakkor, nemcsak a tényleges DNS rekordokat, hanem a „nincs ilyen” válasz hitelességét is garantálja digitális aláírás. Ha a „nincs ilyen” üzenetek nem lennének digitális aláírással ellátva, akkor ezek hamisításával egyszerűen lehetne DoS támadást végrehajtani, ellehetetleníteni nevek feloldását. A DNSSEC véd a cache mérgezéstől, véd a DNS válaszok menet közbeni hamisítása ellen.
A DNSSEC egy másik fontos ötlete, hogy maguk az aláírások is DNS rekordok. Ilyen módon a DNSSEC a DNS kiterjesztése.
A DNSSEC-nél az egyes zónákhoz tartozhat egy vagy több kulcspár. Ezen kulcsok titkos részével történik a rekordok aláírása, és a nyilvános részével az aláírások ellenőrzése. A kulcsok nyilvános része DNS rekordként jelenik meg.
Ha érdekli a téma, kollégánk részletes írását DNSSEC témában az alapoktól a haladóig itt találja: DNSSEC – elv és konfiguráció
A .hu alatt támogatott DNSSEC algoritmusok
A .hu TLD alatt a következő algoritmusokkal lehet aldomaint delegeálni, vagyis ilyen DNSSEC-kel védett regisztrációk lehetségesek:
| Sorszám | Név | Mnemonikus kód | Példa |
| 3 | DSA/SHA1 | DSA | isztteszt-3.hu |
| 5 | RSA/SHA-1 | RSASHA1 | isztteszt-5.hu |
| 6 | DSA-NSEC3-SHA1 | DSA-NSEC3-SHA1 | isztteszt-6.hu |
| 7 | RSASHA1-NSEC3-SHA1 | RSASHA1-NSEC3-SHA1 | isztteszt-7.hu |
| 8 | RSA/SHA-256 | RSASHA256 | info.hu |
| 10 | RSA/SHA-512 | RSASHA512 | isztteszt-10.hu |
| 13 | ECDSA Curve P-256 with SHA-256 | ECDSAP256SHA256 | isztteszt-13.hu |
| 14 | ECDSA Curve P-384 with SHA-384 | ECDSAP384SHA384 | isztteszt-14.hu |