Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation de DNSSEC

Junos OS la norme DNSSEC (Domain Name Service Security Extensions). DNSSEC est une extension de DNS qui permet de vérifier l’authentification et l’intégrité des données à l’aide de signatures basées sur des clés publiques.

Dans DNSSEC, toutes les enregistrements de ressources d’un DNS sont signés avec la clé privée du propriétaire de la zone. Le résolutionur DNS utilise la clé publique du propriétaire pour valider la signature. Le propriétaire de la zone génère une clé privée pour chiffrer le hachage d’un ensemble d’enregistrements de ressources. La clé privée est stockée dans un enregistrement RRSIG. La clé publique correspondante est stockée dans l’enregistrement DNSKEY. Le resolver utilise la clé publique pour déchiffrer le RRSIG et compare le résultat au hachage du dossier de ressources pour vérifier qu’il n’a pas été modifié.

De même, le hachage du DNSKEY public est stocké dans un enregistrement DS dans une zone mère. Le propriétaire de la zone génère une clé privée pour chiffrer le hachage de la clé publique. La clé privée est stockée dans le registre RRSIG. Le résout récupère l’enregistrement DS, ainsi que l’enregistrement RRSIG correspondant et la clé publique. À l’aide de la clé publique, le résout déchiffre le dossier RRSIG et compare le résultat avec le hachage du DNSKEY public pour vérifier qu’il n’a pas été modifié. Ceci établit une chaîne de confiance entre le serveur de résolution et les serveurs de noms.