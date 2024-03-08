Le estensioni di sicurezza DNS forniscono un framework protetto tramite crittografia progettato per migliorare la sicurezza e l'affidabilità del DNS. Al suo interno, DNSSEC impiega un sistema di coppie di chiavi, pubblica e privata. Per abilitare la convalida DNSSEC, un amministratore di zona genera firme digitali (archiviate come record RRSIG) utilizzando la zone-signing key privata e una chiave pubblica corrispondente distribuita come record DNSKEY. Una zone-signing key viene utilizzata per firmare e autenticare lo ZSK, fornendo un ulteriore livello di sicurezza.



I resolver DNS, quando vengono interrogati, recuperano l'RRset richiesto e il record RRSIG associato, che contiene la private zone-signing key. Il resolver richiede quindi il record DNSKEY che contiene la chiave ZSK pubblica. Questi tre asset insieme convalidano la risposta ricevuta dal resolver. Tuttavia, l'autenticità dello ZSK pubblico deve ancora essere verificata. È qui che entrano in gioco le key-signing key.

La chiave di firma della chiave viene utilizzata per firmare la ZSK pubblica e creare un RRSIG per il DNSKEY. Il nameserver pubblica una KSK pubblica in un record DNSKEY, come per la ZSK pubblica. Questo crea un RRset contenente entrambi i record DNSKEY, firmati dalla KSK privata e convalidati dalla KSK pubblica. Questa autenticazione convalida la ZSK pubblica, lo scopo della KSK, e convalida l'autenticità del RRset richiesto.