Il DNSSEC ha due aspetti principali: il firmatario e l’autenticatore. Insieme garantiscono un elevato livello di sicurezza per il DNSSEC. Entrambi sono essenziali per il suo funzionamento, ma ciascuno di essi è un processo separato e indipendente.
Firma
Il dominio sarà firmato dagli operatori del name server, che verranno così autenticati al dominio. Questi name server sono gestiti dal fornitore di servizi DNS presso il quale il dominio è registrato (che fornisce anche il servizio DNS predefinito) o dal fornitore di web hosting che offre il servizio DNS o il proprio server DNS autentico.
In sostanza, il processo di firma DNSSEC è il seguente:
- Il titolare del nome di dominio abilita il DNSSEC sul lato del dominio utilizzato dal DNS.
- Il server DNS che fornisce il record DNS lo firma con le chiavi DNSSEC.
Come parte del processo, viene creato un cosiddetto record “Delegation Signer” (DS) per il TLD, che garantisce la “piena fiducia” (un insieme di query autenticate dalla firma digitale del nome di dominio, che controlla le richieste in tutti i nodi di query). Questo assicura che nessuna terza parte possa interferire nella comunicazione e reindirizzare la richiesta a un altro sito web dannoso.
- Il registrar del dominio deve fornire questo record DS per la creazione del dominio.
- Successivamente, il registrar invierà questo record DS ai gestori del TLD (in questo caso, il TLD deve essere conforme al protocollo DNSSEC).
Autenticazione
La convalida “avviene attraverso i cosiddetti resolver DNS che autenticano il DNSSEC”. L’autenticazione può essere effettuata tramite un resolver DNS, che può essere eseguito in qualsiasi punto della rete. Questo include browser, servizi di messaggistica o server di posta. I resolver DNS possono essere integrati nel sistema operativo del computer di casa o forniti da un ISP o da un altro provider DNS pubblico, come il DNS pubblico di Google.
Durante l’autenticazione, la firma DNSSEC del dominio viene verificata crittograficamente.
Come parte del processo di autenticazione, il resolver DNS verifica anche la creazione di una “piena fiducia”, dalla radice del server DNS al dominio, per assicurarsi che le informazioni utilizzate non siano state modificate. Idealmente, questa verifica viene effettuata il più vicino possibile all’utente finale.