Интернет магазин китайских планшетных компьютеров

Компьютеры - DNSSEC - Описание

Изначально Domain Name System разрабатывался не в целях безопасности, а для создания масштабируемых распределенных систем. Со временем система DNS становится все более уязвимой. Злоумышленники без труда перенаправляют запросы пользователей по символьному имени на подставные серверы и таким образом получают доступ к паролям, номерам кредитных карт и другой конфиденциальной информации. Сами пользователи ничего не могут с этим поделать, так как в большинстве случаев даже не подозревают о том, что запрос был перенаправлен. DNSSEC является попыткой обеспечения безопасности при одновременной обратной совместимости.

DNSSEC была разработана для обеспечения безопасности клиентов от фальшивых DNS данных, например, создаваемых DNS cache poisoning. Все ответы от DNSSEC имеют цифровую подпись. При проверке цифровой подписи DNS распознаватель проверяет верность и целостность информации. Хотя защита адресных записей является непосредственной проблемой для многих пользователей, DNSSEC может защитить остальную информацию, такую как криптографические сертификаты общего назначения, хранящиеся в CERT record DNS. RFC 4398 описывает, как распределить эти сертификаты, в том числе по электронной почте, что позволяет использовать DNSSEC в качестве глобальной распределённого хранилища сертификатов ключей подписи.

DNSSEC не обеспечивает конфиденциальность данных; в частности, все DNSSEC ответы аутентифицированны, но не шифруются. DNSSEC не защищает от DoS атак непосредственно, хотя в некотором роде делает это косвенно. Другие стандарты используются для обеспечения большого количества данных, пересылаемых между серверами DNS.

DNSSEC спецификации подробно описывают текущий протокол DNSSEC. См. RFC 4033, RFC 4034 и RFC 4035.