DNSSEC (Domain Name System Security Extensions) یکی از جمله مهمترین افزودنیها برای سرویس DNS به شمار میآید. وظیفهی اصلی DNSSEC حفظ نام دامنه یا دامین از حملات مختلفی با عنوان DNS spoofing استDNSSEC با تشخیص سرورهای فیک DNS، امنیت سایت را به شکل چشمگیری ارتقا میدهد.
برای درک بهتر عملکرد DNSSEC، بیایید ابتدا به مفاهیم رمزنگاری و امضای دیجیتال نگاهی بیندازیم:
رمزنگاری (Cryptography): روشی برای رمزنگاری دادهها است. با استفاده از رمزنگاری، میتوان امنیت و یا تایید و تصدیق دادهها را فراهم کرد. در DNSSEC، از رمزنگاری در فرآیند احراز هویت رکوردها استفاده میشود.
امضای دیجیتال (Digital Signature): در امضای دیجیتال، دادهها نخست به یک تابع هش داده میشوند. خروجی حاصل از این تابع به همراه دادهی اصلی بهوسیلهی کلید خصوصی، امضا میشود و سپس این امضا برای دریافتکننده ارسال میشود. دریافتکنندهی امضا اگر کلید عمومی را در اختیار داشته باشد، قادر به رمزگشایی پیام و دستیابی به دادههای اصلی است. امضای دیجیتال به معنای دستکاری نشدن دادهها توسط شخص سوم و احراز هویت موفق است.
DNSSEC با امضای دیجیتال رکوردهای DNS یک دامنه، امکان احراز هویت این رکوردها و در امان بودن آن دامنه از حملهی DNS spoofing را فراهم میکند. این امضاهای دیجیتال در سرورهای DNS ذخیره میشوند و با بررسی امضای اختصاص یافته به یک رکورد، میتوان مطمین شد که رکورد DNS دریافت شده از یک DNS سرور مجاز است یا رکوردی جعلی نیست.