DNSSEC Alapértelmezésben a domain nevek DNS bejegyzései egy egyszerű lekérdezés során nincsenek titkosítva, ezért illetéktelenek hozzáférhetnek, és módosíthatják a választ. A DNSSEC egy kriptográfiai eljárás segítségével írja alá a domain nevek zónáját, így hiteles választ fog vissza adni, amelyhez harmadik fél nem tud hozzáférni, nem tudja módosítani azt. A domain névnél helytelen DNSSEC beállítások használata a domain név működésképtelenségéhez vezethet. MI A DNSSEC? A DNSSEC a Domain Name System Security Extensions szavak rövidítéséből áll. Lényegében a DNS egy kiterjesztése amely a DNS megalkotása során keletkezett biztonsági hibákat, sebezhetőségeket hivatott javítani. A DNSSEC MŰKÖDÉSE A DNSSEC az adatok meghamisítása ellen védekezik olyan módon, hogy a DNS rekordokhoz digitális aláírást ad hozzá a lekérdezések során. A DNSSEC-el aláírt domain nevek zónáinak lekérdezése során a digitális aláírás – amelyet a domain névnél beállított névszerverben tárolnak – hitelesítésre kerül így biztosítva azt, hogy a lekérdezés és a válasz közötti időszakban a zónában tárolt adatok nem módosultak. A DNSSEC segítségével biztosítható hogy ténylegesen annak a weboldalnak a lekérdezése történjen meg amelyet a látogató a böngészője címsorába beírt. A DNSSEC működését tekintve a nyílvános, illetve titkos kulcsú hitelesítést használja. A nyilvános kulcsokat digitális aláírásokat a DNS-ben RRSIG típusként lehet megtalálni, ezen rekordok ugyanúgy kérdezhetőek le mint bármely másik típusú rekord. A domain nevekhez tartozó titkos kulcsokat a névszerver tárolja, és egy lekérdezés során a titkos kulcs segítségével aláírt adatokat is vissza küldi a kérdező félnek, aki a nyilvános kulcs segítségével tudja feloldani ezt. Abban az esetben ha harmadik fél beleavatkozik a lekérdezésbe és módosítja a válaszban elküldött adatot, akkor a visszafejtés során a nyilvános kulcs segítségével nem lehet majd helyesen vissza fejteni azt, ebből viszont tudni fogja a fogadó fél, hogy azt meghamisították. A DNSSEC nem végez adat titkosítást – algoritmusok hiányában -, csak azt biztosítja, hogy a lekérdezett adatok eredetiek. Ebből adódóan a DNSSEC-et nem lehet használni például DDoS támadás kivédésére. DNSSEC KULCS KEZELÉS Természetesen mint minden kriptográfiai eljárást a DNSSEC esetében használt privát és nyílt kulcsok is megismerhetőek, és feltörhetőek idővel. Azért hogy a használt kulcsokat nehezebben lehessen megismerni és ezt követően feltörni, bevezetésre került egy plusz kulcs. A DNSSEC esetében a  KSK , és a  ZSK  típusú kulcsok vannak használatban. A  KSK  kulcsok viszonylag ritkán változnak, azonban a  ZSK  kulcsok gyakran, így biztosítva azt hogy egy esetleges feltörés sokkal időigényesebb, és ez által nehézkesebb legyen. Kulcs fajtája Kulcs leírása KSK ennek segítségével írják alá a zóna aláíró kulcsot ZSK ennek segítségével kerülnek aláírásra az egyes rekordok   DNSSEC ENGEDÉLYEZÉSE Abban az esetben ha a domain név az alapértelmezett, vagy a cPaneles tárhely által biztosított névszervereket használja akkor a DNSSEC bekapcsolása az alábbi módon kapcsolható be: A bejelentkezést követően a felső menü sorban kattintson a  Domainek  /  Domain neveim  menü pontra. A jobb oldalon felül található keresőben rá tud keresni a domain névre, ha a domain nevet megtalálta akkor kattintson a  Domain kezelése  menü pontra. A megjelenő oldalon kattintson a  DNSSEC  lehetőségre. Abban az esetben ha a domain névnél nem volt korábban engedélyezve a  DNSSEC  akkor azt a  DNSSEC engedélyezése  gombra történő kattintással engedélyezheti. DNSSEC HIBAELHÁRÍTÁSA Az alábbi oldalak segítségével ellenőrizhető a DNSSEC helyes beállítása: Verisign DNSSEC Debugger DNSViz