DNSSEC
DNSDNSSEC (Domain Name System Security Extensions) este un set de extensii de securitate pentru DNS care adaugă autentificare criptografică răspunsurilor DNS. DNSSEC permite verificarea faptului că răspunsurile DNS provin de la sursa autorizată și nu au fost modificate în tranzit, protejând împotriva atacurilor de tip DNS spoofing și cache poisoning.
DNSSEC, acronim pentru Domain Name System Security Extensions, reprezintă cea mai importantă îmbunătățire de securitate adusă sistemului DNS de la crearea sa. Definit prin RFC 4033, 4034 și 4035, DNSSEC adaugă un strat de autentificare care permite verificarea integrității și autenticității răspunsurilor DNS.
Funcționarea DNSSEC se bazează pe criptografia cu cheie publică. Fiecare zonă DNS semnată DNSSEC generează perechi de chei: ZSK (Zone Signing Key) pentru semnarea înregistrărilor și KSK (Key Signing Key) pentru semnarea ZSK. Înregistrările RRSIG conțin semnăturile digitale, iar înregistrările DNSKEY stochează cheile publice.
Lanțul de încredere DNSSEC pornește de la zona root (semnată din 2010) și se extinde prin fiecare nivel al ierarhiei DNS. Înregistrările DS (Delegation Signer) din zona părinte conțin hash-ul cheii KSK a zonei copil, creând o legătură verificabilă. Resolverele validatoare parcurg acest lanț pentru a confirma autenticitatea fiecărui răspuns.
DNSSEC protejează împotriva mai multor tipuri de atacuri. Cache poisoning, unde un atacator injectează răspunsuri DNS false în cache-ul resolverului, este prevenit deoarece răspunsurile false nu vor avea semnături valide. Man-in-the-middle attacks pe traficul DNS sunt de asemenea detectate.
Implementarea DNSSEC necesită suport atât din partea autoritativă (semnarea zonei) cât și din partea resolverului (validarea semnăturilor). Furnizori precum Cloudflare activează DNSSEC cu un singur click. Pentru domenii .ro, ROTLD suportă DNSSEC, iar configurarea implică generarea cheilor, semnarea zonei și publicarea înregistrării DS la registrar.