Ad ogni livello, in ogni zona, i record sono firmati da una (o più) chiave, che è essa stessa (la parte pubblica) nella zona come record DNSKEY.
Anche nella zona madre, un record DS (firmato nella zona come qualsiasi altro record in quella zona) "punta" alla DNSKEY sottostante per il fatto di essere un hash e il nome del dominio.
Questo è ripetuto ad ogni livello.
Quindi, se si avvia da root con una chiave completamente attendibile (un'ancora, che deve esistere in ciascun server dei nomi ricorsivo), si trova un record DS firmato per una chiave all'interno della zona .com
in cui si trova il record DNSKEY e tutti gli altri record lì sono firmati da questa chiave, incluso il record DS di una chiave per example.com
in quale zona troverai un record DNSKEY che firma tutti gli altri record, quindi genera i record RRSIG.
(Questo è ovviamente semplificato dal fatto che spesso hai separato le chiavi di firma di zona e le chiavi di firma delle chiavi, ma ciò non cambia l'idea generale sopra).
I tasti sono generalmente generati automaticamente dal nameserver o da alcuni strumenti esterni con una certa frequenza (in genere contati in mesi o in pochi anni). Non devono assolutamente essere gestiti / generati dalla zona genitore, ogni zona è responsabile delle sue chiavi, quanto ne ha di esse, quanto spesso le cambia, dove sono memorizzate (come su un HSM offline per i KSK o semplicemente su il filesystem). Ogni zona fornisce solo un record DS
(uno per chiave, in particolare uno per KSK, inclusi quelli che non corrispondono ancora ai record DNSKEY pubblicati, come backup), alla sua zona padre, al fine di creare la catena di fiducia.
Quindi può essere il proprietario del dominio o la firma DNSSEC (e quindi il servizio di generazione chiavi) può essere esternalizzato: alcuni provider ti daranno un nameserver che agisce come un bump nel filo, servirà una zona firmata dal tuo contenuto essendo uno schiavo dei tuoi server dei nomi che servono una zona non firmata e gestiscono le chiavi e le firme stesse.
Le firme in example.com
sono possedute in un modo (dipende da cosa si intende per proprietà) dai nameserver autorevoli su questa zona. Sono pre-calcolati o calcolati quando arrivano le richieste (esistono entrambi i modelli). Le firme stesse hanno una data di inizio e una data di fine.
Utilizza uno strumento online come link per visualizzare graficamente la catena di fiducia per qualsiasi dominio. Passa il tuo mouse su varie parti dell'immagine, hai sovrapposizioni con molte informazioni utili.
Puoi anche utilizzare dig +trace +dnssec
localmente.