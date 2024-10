Łańcuch zaufania



OK, mamy więc sposób na ustanowienie zaufania w ramach strefy i powiązanie go ze strefą nadrzędną, ale jak możemy zaufać rekordowi DS? Cóż, rekord DS jest podpisany podobnie jak dowolny inny zestaw RRset, co oznacza, że ma odpowiedni RRSIG w strefie nadrzędnej. Cały proces zatwierdzania powtarza się do momentu uzyskania publicznego klucza KSK w strefie nadrzędnej. Aby to zweryfikować, musimy przejść do rekordu DS strefy nadrzędnej, a następnie do kolejnych elementów łańcucha zaufania.





Jednak gdy w końcu dotrzemy do głównej strefy DNS, mamy problem: nie ma nadrzędnego rekordu DNS, w odniesieniu do którego można dokonać zatwierdzenia. Właśnie w tym miejscu zobaczymy bardzo ludzką stronę globalnego Internetu.



W ramach ceremonii podpisywania serwerów głównych kilka wybranych osób z całego świata zajmuje się podpisywaniem głównego zestawu DNSKEY RRset w sposób bardzo publiczny i podlegający szczegółowym audytom. W ramach ceremonii tworzony jest rekord RRSIG, który może być używany do weryfikowania publicznych kluczy KSK i ZSK głównego serwera nazw. Zamiast ufać publicznemu kluczowi KSK z powodu nadrzędnego rekordu DS, zakładamy, że jest prawidłowy, ponieważ ufamy procedurom bezpieczeństwa dotyczącym uzyskiwania dostępu do prywatnych kluczy KSK.



Umiejętność ustanowienia zaufania między strefą podrzędną a nadrzędną jest integralną częścią protokołu DNSSEC. Jeśli dowolna część łańcucha zostanie uszkodzona, nie możemy ufać rekordom, których żądamy, ponieważ atak typu „man-in-the-middle” mógłby zmienić rekordy i przekierować nas do dowolnego innego adresu IP.