DNSKEY와 DS 레코드는 DNSSEC 확인자가 DNS 레코드의 신뢰성을 확인하는 데 사용됩니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
글 링크 복사
도메인 네임 시스템(DNS)은 인터넷의 전화번호부이지만, 보안을 염두에 두고 설계되지는 않았습니다.이러한 이유로 웹 자산 소유자가 애플리케이션을 더 잘 보호할 수 있도록 DNSSEC라는 선택적 보안 프로토콜이 만들어졌습니다.DNSSEC는 DNS 레코드에 암호화 서명을 추가하여 보안을 강화합니다. 이러한 서명을 검사하여 레코드가 올바른 DNS 서버에서 왔는지 확인할 수 있습니다.
이러한 암호화 서명을 구현하기 위해 DNSKEY와 DS라는 두 가지 새로운 DNS 레코드 유형이 만들어졌습니다. DNSKEY 레코드에는 공개 서명 키가 포함되고 DS 레코드에는 DNSKEY 레코드의 해시*가 포함됩니다.
각 DNSSEC 영역에는 영역 서명 키(ZSK) 세트가 할당됩니다. 이 세트에는 비공개 및 공개 ZSK가 포함됩니다. 비공개 ZSK는 해당 영역의 DNS 레코드에 서명하는 데 사용되고 공개 ZSK는 비공개 레코드를 확인하는 데 사용됩니다.
공개 ZSK는 DNSSEC 확인자에게 제공되는 방식인 DNSSEC 레코드에 게시됩니다. 확인자는 공개 ZSK를 사용하여 해당 영역의 레코드가 인증되었는지 확인합니다. 추가 보안 계층으로 DNSSEC 영역에는 공개 ZSK의 신뢰성을 확인하는 키 서명 키(KSK)가 포함된 두 번째 DNSKEY 레코드가 포함되어 있습니다.
DS 레코드는 DNSSEC 영역의 하위 영역** 신뢰성을 확인하는 데 사용됩니다. 상위 영역의 DS 키 레코드에는 하위 영역에 있는 KSK의 해시가 포함되어 있습니다. 따라서 DNSSEC 확인자는 KSK 레코드를 해시하고 이를 상위 영역의 DS 레코드에 있는 항목과 비교하여 하위 영역의 신뢰성을 확인할 수 있습니다.
*암호화 해시는 영숫자 입력의 단방향 변환입니다. 해시는 암호와 같은 중요한 정보를 서버에 저장하는 데 사용되는 경우가 많습니다. 예를 들어 'cantguessthis' 입력의 해시는 18fe9934cf77a759eb2471f2b304708a입니다. 'cantguessthis'가 해싱 함수를 통과할 때마다 동일한 해시가 출력됩니다. 그러나 해시만 사용하여 원래 입력을 얻을 수 있는 방법은 없습니다. 해시 자체는 본질적으로 쓸모가 없습니다.
**하위 영역은 다른 영역에서 위임된 하위 도메인입니다. 예를 들어 example.com 의 URL에는 blog.example.com 및 mail.example.com와 같은 도메인이 있는 하위 영역이 있을 수 있습니다.
시작하기
DNS 정보
DNS 서버
DNS 레코드
DNS 용어 설명