DNSSEC

DNSSEC (lyhenne sanoista Domain Name System Security Extensions) on DNS-nimipalvelun laajennos, jolla varmistetaan nimipalvelimelta saatavien tietojen alkuperä ja eheys.^[1]

Kehitys alkoi 1990-luvulla ratkaisemaan DNS:n haavoittuvuutta. DNS sellaisenaan ei voi varmistaa, että vastaus nimipalvelulle lähetetylle kyselylle tulee luotettavasta lähteestä, vaan vastaus voi olla hyökkääjän väärentämä (DNS spoofing). DNSSEC on digitaalinen allekirjoitus, jolla voidaan tarkistaa vastauksen olevan peräisin luotettavalta palvelimelta. DNSSEC käyttää digitaalista allekirjoitusta ja julkisen avaimen salausmenetelmää.^[2] DNS over TLS täydentää DNSSEC:in toimintaa salaamalla liikenteen, jolloin ulkopuolinen taho ei voi seurata kysyttäjä osoitteita.^[3][4]

DNS:n haavoittuvuuksia on dokumentoitu RFC-dokumentissa RFC 3833. Steven M. Bellovin kirjoitti DNS:n haavoittuvuuksista tunnetun julkaisun.^[5]

IETF:n julkaisuja

• RFC 2535 Domain Name System Security Extensions
• RFC 3833 A Threat Analysis of the Domain Name System
• RFC 4033 DNS Security Introduction and Requirements (DNSSEC-bis)
• RFC 4034 Resource Records for the DNS Security Extensions (DNSSEC-bis)
• RFC 4035 Protocol Modifications for the DNS Security Extensions (DNSSEC-bis)
• RFC 4398 Storing Certificates in the Domain Name System (DNS)
• RFC 4470 Minimally Covering NSEC Records and DNSSEC On-line Signing
• RFC 4509 Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)
• RFC 5155 DNSSEC Hashed Authenticated Denial of Existence
• RFC 6781 DNSSEC Operational Practices, Version 2
• RFC 6840 Clarifications and Implementation Notes for DNS Security (DNSSEC)