Vés al contingut

Domain Name System Security Extensions

De la Viquipèdia, l'enciclopèdia lliure
Aquesta és una versió anterior d'aquesta pàgina, de data 14:43, 16 des 2013 amb l'última edició de Joutbis (discussió | contribucions). Pot tenir inexactituds o contingut no apropiat no present en la versió actual.
(dif.) ←la pròxima versió més antiga | vegeu la versió actual (dif.) | Versió més nova → (dif.)
Aquest article o secció s'està elaborant i està inacabat. Un viquipedista hi està treballant i és possible que trobeu defectes de contingut o de forma. Comenteu abans els canvis majors per coordinar-los. Aquest avís és temporal: es pot treure o substituir per {{incomplet}} després d'uns dies d'inactivitat.
Model TCP/IP
per capes
Xarxes informàtiques
  • Vegeu aquesta plantilla


Domain Name System Security Extensions (DNSSEC) és un conjunt d'especificacions de la IETF per tal de securitzar certs tipus d'informació que proporciona el sistema Domain Name System (DNS) en xarxes IP. Es tracta d'unes extensions del DNS que proporcionen als clients DNS (resolvers) autenticació en origen de les dades de DNS, denegació autenticada de l'existència dels registres, i integritat de dades. No garanteixen, en canvi, ni la disponibilitat ni la confidencialitat.

Resum

El disseny original del DNS no tenia en compte la seguretat; es va dissenyar per ser un sistema distribuït escalable. Les extensions DNSSEC intenten d'afegir-hi seguretat, tot mantenint compatibilitat amb la situació anterior. L'RFC 3833 documenta algunes de les amenaces conegudes contra el DNS i com hi respon DNSSEC.

L'objectiu de disseny de DNSSEC és protegir les aplicacions (i els resolvers que donen servei a aquestes aplicacions) perquè no utilitzin dades DNS falsificades o manipulades, com les que apareixen en atacs d'enverinament de DNS.. All answers from DNSSEC protected zones are digitally signed. By checking the digital signature, a DNS resolver is able to check if the information is identical (i.e. unmodified and complete) to the information published by the zone owner and served on an authoritative DNS server. While protecting IP addresses is the immediate concern for many users, DNSSEC can protect any data published in the DNS, including text records (TXT), mail exchange records (MX), and can be used to bootstrap other security systems that publish references to cryptographic certificates stored in the DNS such as Certificate Records (CERT records, RFC 4398), SSH fingerprints (SSHFP, RFC 4255), IPSec public keys (IPSECKEY, RFC 4025), and TLS Trust Anchors (TLSA, RFC 6698).

DNSSEC does not provide confidentiality of data; in particular, all DNSSEC responses are authenticated but not encrypted. DNSSEC does not protect against DoS attacks directly, though it indirectly provides some benefit (because signature checking allows the use of potentially untrustworthy parties).[cal citació]

Obtingut de «https://ca.wikipedia.org/w/index.php?title=Domain_Name_System_Security_Extensions&oldid=12523844»