Vad är DNS-säkerhet?
Domain Name System (DNS) security extensions (DNSSEC) är ett sätt att skydda Internet och dess användare från eventuella attacker som kan inaktivera eller hindra åtkomst till de väsentliga namngivningstjänsterna på Internet. Säkerhetsförlängningarna skapar ett sätt för DNS-servrar att fortsätta att tillhandahålla sina IP-adressöversättningsfunktioner, men med den tilläggsbestämmelse som DNS-servrarna verifierar med varandra genom att skapa en serie förtroendeförhållanden. Genom förlängningarna uppnår data som delas mellan DNS-servrarna också en nivå av integritet som normalt är svårt över till det befintliga protokollet som data överförs till.
Ursprungligen skapades DNS som en osäker, offentlig distribution av namn och deras relaterade IP-adresser. I takt med att Internet växte utvecklades emellertid ett antal problem relaterade till DNS-säkerhet, integritet och integriteten för DNS-data. När det gäller integritetsfrågor hanterades problemet tidigt genom korrekt konfiguration av DNS-servrar. Det är fortfarande möjligt för en DNS-server att utsättas för ett antal olika typer av attacker, till exempel distribuerad denial of service (DDoS) och buffertöverskridningsattacker, vilket kan påverka vilken typ av server som helst. Speciellt för DNS är emellertid frågan om någon extern källa som förgiftar data genom att införa falsk information.
DNSSEC utvecklades av Internet Engineering taskforce (IETF) och detaljerade i flera begäran om kommentarer (RFC), 4033 till 4035. Dessa dokument beskriver DNS-säkerhet som kan uppnås genom användning av autentiseringstekniker för allmän nyckel. För att lindra behandlingen på DNS-servrarna används bara autentiseringsteknikerna och inte kryptering.
Hur DNSSEC fungerar är genom att skapa förtroendeförhållanden mellan olika nivåer i DNS-hierarkin. På den översta nivån etableras DNS-domänens huvuddomän som den primära mellanhanden mellan de lägre domänerna, såsom .com, .org, och så vidare. Underdomäner tittar sedan på rotdomänen, som fungerar som det som kallas en betrodd tredje part, för att validera de övriga trovärdigheten så att de kan dela korrekt DNS-data med varandra.
En fråga som dyker upp som ett resultat av de metoder som beskrivs i RFC: er kallas zonberäkning. Det blir möjligt för en extern källa att lära sig identiteten på varje namngivna dator i ett nätverk. Vissa kontroverser utvecklades med DNS-säkerhet och zonuppräkningsproblemet på grund av det faktum att även om DNS ursprungligen inte var utformat för integritet kräver olika juridiska och statliga skyldigheter att uppgifterna förblir privata. Ett ytterligare protokoll, beskrivet i RFC 5155, beskriver ett sätt att implementera ytterligare resursregister i DNS som kan lindra problemet, men inte ta bort det helt.
Andra problem med implementering av DNS-säkerhet handlar om kompatibilitet med äldre system. De implementerade protokollen måste vara universella och därför förstås av alla datorer, servrar och klienter som använder Internet. Eftersom DNSSEC implementeras genom programtillägg till DNS, uppstod emellertid vissa svårigheter att få äldre system korrekt uppdaterade för att stödja de nya metoderna. Fortfarande började implementeringen av DNSSEC-metoderna på rotnivå i slutet av 2009 och början av 2010, och många moderna datoroperativsystem är utrustade med DNS-säkerhetsförlängningar.