Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation de DNSSEC

Les équipements Junos OS prennent en charge la norme DNSSEC (Domain Name Service Security Extensions). DNSSEC est une extension de DNS qui assure l’authentification et la vérification de l’intégrité des données à l’aide de signatures basées sur une clé publique.

Dans DNSSEC, tous les enregistrements de ressources d’un DNS sont signés à l’aide de la clé privée du propriétaire de la zone. Le résolveur DNS utilise la clé publique du propriétaire pour valider la signature. Le propriétaire de la zone génère une clé privée pour chiffrer le hachage d’un ensemble d’enregistrements de ressources. La clé privée est stockée dans un enregistrement RRSIG. La clé publique correspondante est stockée dans l’enregistrement DNSKEY. Le résolveur utilise la clé publique pour déchiffrer le RRSIG et comparer le résultat avec le hachage de l’enregistrement de ressource pour vérifier qu’il n’a pas été modifié.

De même, le hachage de la clé DNSKEY publique est stocké dans un enregistrement DS dans une zone parente. Le propriétaire de la zone génère une clé privée pour chiffrer le hachage de la clé publique. La clé privée est stockée dans l’enregistrement RRSIG. Le résolveur récupère l’enregistrement DS ainsi que son enregistrement RRSIG correspondant et sa clé publique. À l’aide de la clé publique, le résolveur déchiffre l’enregistrement RRSIG et compare le résultat avec le hachage de la clé DNSKEY publique pour vérifier qu’il n’a pas été modifié. Cela établit une chaîne de confiance entre le résolveur et les serveurs de noms.