DNSSEC chain

DNSSEC은 루트에서 영역까지 서명 체인을 검증한다

DNSSEC은 DNS 데이터를 암호화하지 않는다. 대신 DS, DNSKEY, RRSIG로 “이 응답이 해당 영역의 키로 서명됐는지” 확인한다.

RootTrust Anchor검증 리졸버가 신뢰하는 시작 키다.

TLDDS상위 영역이 하위 영역 키 해시를 가리킨다.

ZoneDNSKEY영역의 공개키로 서명 검증을 준비한다.

AnswerRRSIG + RRset응답 레코드 묶음이 바뀌지 않았는지 확인한다.

제공: 무결성

응답 데이터가 중간에서 바뀌었는지 검출한다.

제공: 출처 인증

해당 영역의 키로 서명된 데이터인지 확인한다.

미제공: 기밀성

질의 이름을 숨기지는 않는다. DoT/DoH와 별개다.

필요 조건	실패 시 증상
부모 DS와 자식 DNSKEY가 일치	SERVFAIL로 보일 수 있다.
RRSIG 유효 기간과 키 롤오버 관리	정상 레코드도 검증 실패가 된다.