The Domain Name System Security Extensions (DNSSEC) are a suite of IETF specifications for securing certain kinds of information provided by the Domain Name System (DNS) as used on Internet Protocol (IP) networks. It is a set of extensions to DNS which provide to DNS clients (resolvers): * Origin authentication of DNS data. * Data integrity. * Authenticated denial of existence.

PropertyValue
p:abstract
  • The Domain Name System Security Extensions (DNSSEC) are a suite of IETF specifications for securing certain kinds of information provided by the Domain Name System (DNS) as used on Internet Protocol (IP) networks. It is a set of extensions to DNS which provide to DNS clients (resolvers): * Origin authentication of DNS data. * Data integrity. * Authenticated denial of existence. It is widely believed that deploying DNSSEC is critically important for securing the Internet as a whole, but deployment has been hampered by the difficulty of: # Devising a backward-compatible standard that can scale to the size of the Internet. # Preventing "zone enumeration" (see below) where desired. # Deploying DNSSEC implementations across a wide variety of DNS servers and resolvers (clients). # Squabbling among key players, none of whom agree on who should own the .com (etc) root keys # Overcoming the perceived complexity of DNSSEC and DNSSEC deployment Some of these problems are in the process of being resolved, and deployments in various domains have begun to take place. (en)
  • DNSSEC, normalisé dans le RFC 4033 et les suivants (une version antérieure de DNSSEC n'a eu aucun succès), permet de résoudre certains problèmes de sécurité du DNS. DNSSEC permet de sécuriser les données envoyées par le DNS. Contrairement à d'autres protocoles comme SSL, il ne sécurise pas juste un canal de communication mais il protège les données, les enregistrements DNS, de bout en bout. Ainsi, il est efficace même lorsqu'un serveur intermédiaire trahit. DNSSEC signe cryptographiquement les enregistrements DNS et met cette signature dans le DNS. Ainsi, un client DNS méfiant peut donc récupérer la signature et, s'il possède la clé du serveur, vérifier que les données sont correctes. La clé peut être récupérée via le DNS lui-même (ce qui pose un problème d'œuf et de poule) ou bien par un autre moyen (diffusée via le Web et signée avec PGP par exemple). DNSSEC permet de déléguer des signatures : ainsi, le registre d'un TLD peut annoncer que tel sous-domaine est signé. On peut ainsi bâtir une chaîne de confiance depuis la racine du DNS. Pour l'instant, des problèmes politiques (qui a la légitimité pour signer la racine ?) empêchent ce déploiement. DNSSEC introduit aussi ses propres problèmes, par exemple, le fait qu'un enregistrement spécial indique le prochain domaine de la zone permet d'énumérer le contenu complet d'une zone signée, même si le transfert de zone n'est pas permis. Aujourd'hui, le registre suédois et le RIPE-NCC (pour le domaine in-addr.arpa) signent leurs enregistrements avec DNSSEC. (fr)
  • DNSSEC (ang. DNS Security Extensions) to rozszerzenie systemu DNS mające na celu zwiększenie bezpieczeństwa DNS. DNSSEC zapewnia autoryzację źródeł danych (serwerów DNS) za pomocą kryptografii asymetrycznej oraz podpisów cyfrowych. Serwery i klienci systemu DNS są pod opieką administracyjną. Ich bezpieczeństwo polega na zabezpieczeniu transmisji. Całą strukturę systemu DNS przed modyfikacją i sfałszowaniem zabezpiecza protokół DNSSEC, który umożliwia: integralność, sprawdzenie danych, definicję zabezpieczenia strefy, co zapewnia bezpieczeństwo całego systemu. Dane w strefach pakowane są w paczki RRset, które zawierają rekordy rozpoznawane przez taką samą nazwę, klasę i typ. Podpisywanie paczek RRset a nie pojedynczych rekordów RR jest bardziej użyteczne, gdyż serwer nazw zwykle zwraca całą grupę rekordów w odpowiedzi na pytanie DNSowe. Podpisy tworzy się przy wykorzystaniu algorytmów MD5 i RSA lub algorytmów SHA-1 i DSA. Grupa rekordów jest zaszyfrowana prywatnym kluczem strefy. Użytkownik systemu może sprawdzić informacje za pomocą publicznego klucza strefy. Protokół DNSsec wprowadza do systemu DNS rekordy, które zapewniają jego bezpieczeństwo: * klucz publiczny DNSKEY ─ sprawdza podpisy paczek RRset, * rekord NSEC (Next Secure) ─ zapewnia spójność danych strefy i umożliwia sprawdzenie informacji, czy istnieje rekord lub o braku zabezpieczeń, * rekord RRSIG (Resource Record Signature) ─ zawiera podpis zestawu rekordów RRset, * rekord DS (Delegation Signer) ─ wskazuje klucz KSK (Key Singning Key), podpisujący klucz ZSK (Zone Singning Key) strefy podrzędnej. Protokół DNSsec wprowadza nowe bity nagłówka komunikatu systemu DNS: * DO (DNSSEC OK) ─ resolver obsługuje DNSSEC * AD (Authenticated Data) ─ dane autentyczne, bit ten informuje, że dane zostały sprawdzone, * CD (Checking Disabled) ─ wyłączone sprawdzanie. Informuje serwer, że dane niesprawdzone będą akceptowane. (pl)
  • O DNSSEC (Domain Name System Security Extensions) é um padrão internacional que estende a tecnologia DNS. O que DNSSEC adiciona é um sistema de resolução de nomes mais seguro, reduzindo o risco de manipulação de dados e dominios forjados. O mecanismo utilizado pelo DNSSEC é baseado na tecnologia de criptografia que emprega assinaturas. DNSSEC utiliza um sistema de chaves assimétricas. Isso significa que alguém com um domínio compatível com DNSSEC possui um par de chaves eletrônicas que consistem em uma chave privada e uma chave pública. Em razão do mantenedor das chaves utilizar a chave privada para assinar digitalmente sua própria zona no DNS, é possível que todo mundo com acesso a chave pública desta zona verifique que os dados tranferidos desta zona estão intactos. DNSSEC soluciona alguns problemas encontrados na atual tecnologia DNS. Falsas informações DNS criam oportunidades para roubo de informações de terceiros ou alteração de dados em diversos tipos de transações, como compras eletrônicas. Na tecnologia DNS, um ataque DNS com informação forjada é extremamente dificil de ser detectado e na pratica impossível de ser previnido. O objetivo da extensão DNSSEC é assegurar o conteúdo do DNS e impedir estes ataques validando os dados e garantindo a origem das informações. (pt)
p:hasPhotoCollection
p:reference
p:wikipage-fr
p:wikipage-pl
p:wikipage-pt
rdf:type
rdfs:comment
  • The Domain Name System Security Extensions (DNSSEC) are a suite of IETF specifications for securing certain kinds of information provided by the Domain Name System (DNS) as used on Internet Protocol (IP) networks. It is a set of extensions to DNS which provide to DNS clients (resolvers): * Origin authentication of DNS data. * Data integrity. * Authenticated denial of existence. (en)
  • DNSSEC, normalisé dans le RFC 4033 et les suivants (une version antérieure de DNSSEC n'a eu aucun succès), permet de résoudre certains problèmes de sécurité du DNS. (fr)
  • DNSSEC (ang. DNS Security Extensions) to rozszerzenie systemu DNS mające na celu zwiększenie bezpieczeństwa DNS. DNSSEC zapewnia autoryzację źródeł danych (serwerów DNS) za pomocą kryptografii asymetrycznej oraz podpisów cyfrowych. (pl)
  • O DNSSEC (Domain Name System Security Extensions) é um padrão internacional que estende a tecnologia DNS. O que DNSSEC adiciona é um sistema de resolução de nomes mais seguro, reduzindo o risco de manipulação de dados e dominios forjados. O mecanismo utilizado pelo DNSSEC é baseado na tecnologia de criptografia que emprega assinaturas. DNSSEC utiliza um sistema de chaves assimétricas. (pt)
rdfs:label
  • DNSSEC (en)
  • DNSSEC (fr)
  • DNSSEC (pl)
  • DNSSEC (pt)
owl:sameAs
skos:subject
foaf:page
p:redirect
owl:sameAs