Permettetemi scusa prima di questa domanda è stata data una risposta. Ho avuto una buona occhiata e se è qui da qualche parte mi è sfuggito. La mia domanda spera di chiarire esattamente cosa succede quando un resolver di validazione interroga un server dei nomi DNSSEC consapevole per un RR. Pensavo di aver capito il processo, poi ho letto una spiegazione scritta da qualcuno che pensavo potesse parlare in modo autoritario (nessun gioco di parole) sull'argomento. Penso che il modo più semplice per me di farlo sia quello di spiegare a cosa pensavo fosse il processo e poi la versione a contrasto. E spero che qualcuno tra di voi sarà in grado di chiarire dove potrei sbagliare. Esempio A (o come ho pensato che una query DNSSEC abbia funzionato):
L'host A invia una query al suo server DNS di cache ricorsivo per www.example.com Il server ricorsive invia una query iterativa a un server DNS autorevole per la zona radice Il server DNS root non può rispondere direttamente alla query in modo che risponda con:
A plain text referral for the authoritative name servers for the com zone
RRset of DNSKey records for the root zone (the root zone's PubKSK and PubZSK)
RRSig of the above DNSKey RRSet signed with the root zone's PvtKSK
DS record for the com zone (hash of the com zone's PubKSK)
RRSig of the above DS record (signed using the root zone's PvtZSK)
Il server di memorizzazione nella cache ricorsivo contiene una copia del PubKSK della zona radice in modo da verificare i file sopra indicati come segue:
The RRSig containing Root zone's DNSkey record is decrypted using the Root zone PubKSK (already held)
The hash of the Root PubKSK from the RRSig is compared to a hash of the Root PubKSK already held by the recursive server, to verify the authenticity of the key.
If the hashes match the key is trusted and therefore the Root PubZSK is also trusted and can be used to decrypt the RRSig of the DS record for the com zone
Once descrypted the hash of the come zone's PubKSK is compared to that in the DS record to verify that the com PubKSK can be trusted.
Questa è stata la mia comprensione di come funziona la catena di fiducia. Ora che il server ricorsivo conserva la Pubzone locale, il processo viene ripetuto, fino ai server dei nomi di esempio che rispondono con l'IP per il server Web per quel dominio.
Esempio B:
Recentemente ho letto la spiegazione di Josh Reed di una query in para. 1.5 'Come DNSSEC cambia DNS CERCA?' su users.isc.org e lo spiega quasi al contrario.
Nella sua spiegazione:
Host A queries it's recursive resolver for info on the web server www.isc.org
The recursive server's requests on behalf of Host A will be answered by the name-servers responsible for isc.org and contain the records required by DNSSEC.
La validazione ora inizia quando il risolutore ricorsivo chiede al server dei nomi isc.org le chiavi per la sua zona. Una volta fornite tali chiavi, il server ricorsivo interroga (il genitore) per convalidare le risposte in modo inverso all'Esempio A, finché una chiave attendibile (presumibilmente o tipicamente dalla radice) conferma che la catena può essere considerata attendibile.
La domanda:
Posso disturbare qualcuno con una migliore comprensione per confermare che la mia comprensione (come spiegato nell'Esempio A) non è corretta. Non dubito di Josh Reed, ma il secondo esempio sembra essere meno efficiente.
Tutti i commenti saranno ben accetti: -)