Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral do DNSSEC

Os dispositivos Junos OS são compatíveis com o padrão DNSSEC (Domain Name Service Security Extensions, extensões de segurança do serviço de nome de domínio). DNSSEC é uma extensão do DNS que fornece autenticação e verificação de integridade de dados usando assinaturas baseadas em chaves públicas.

No DNSSEC, todos os registros de recursos em um DNS são firmados com a chave privada do proprietário da região. O resolvedor de DNS usa a chave pública do proprietário para validar a assinatura. O proprietário da zona gera uma chave privada para criptografar o hash de um conjunto de registros de recursos. A chave privada é armazenada em registro RRSIG. A chave pública correspondente está armazenada no registro DNSKEY. O resolver usa a chave pública para descriptografar o RRSIG e compara o resultado com o hash do registro do recurso para verificar se ele não foi alterado.

Da mesma forma, o hash da DNSKEY pública é armazenado em um registro DS em uma zona de pai. O proprietário da zona gera uma chave privada para criptografar o hash da chave pública. A chave privada é armazenada no registro RRSIG. O resolver recupera o registro DS e o registro RRSIG correspondente e a chave pública. Usando a chave pública, o resolver descriptografa o registro RRSIG e compara o resultado com o hash da DNSKEY pública para verificar se ele não foi alterado. Isso estabelece uma cadeia de confiança entre o resolver e os servidores de nome.