Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation de DNSSEC

Les équipements Junos OS prennent en charge la norme DNSSEC (Domain Name Service Security Extensions). DNSSEC est une extension du DNS qui permet d’authentifier et de vérifier l’intégrité des données à l’aide de signatures à clé publique.

Dans DNSSEC, tous les enregistrements de ressources d’un DNS sont signés avec la clé privée du propriétaire de la zone. Le résolveur DNS utilise la clé publique du propriétaire pour valider la signature. Le propriétaire de la zone génère une clé privée pour chiffrer le hachage d’un ensemble d’enregistrements de ressources. La clé privée est stockée dans l’enregistrement RRSIG. La clé publique correspondante est stockée dans l’enregistrement DNSKEY. Le résolveur utilise la clé publique pour déchiffrer le RRSIG et compare le résultat avec le hachage de l’enregistrement de ressource pour vérifier qu’il n’a pas été modifié.

De même, le hachage de la clé DNSKEY publique est stocké dans un enregistrement DS dans une zone parente. Le propriétaire de la zone génère une clé privée pour chiffrer le hachage de la clé publique. La clé privée est stockée dans l’enregistrement RRSIG. Le résolveur récupère l’enregistrement DS ainsi que l’enregistrement RRSIG et la clé publique correspondants. À l’aide de la clé publique, le résolveur déchiffre l’enregistrement RRSIG et compare le résultat avec le hachage de la clé DNSKEY publique pour vérifier qu’il n’a pas été modifié. Cela permet d’établir une chaîne de confiance entre le résolveur et les serveurs de noms.

Rubriques connexes