DNSSEC chain
DNSSEC은 루트부터 영역까지 서명 체인을 검증한다
DNSSEC은 DNS 데이터를 암호화하지 않습니다. 대신 DS, DNSKEY, RRSIG를 따라 응답 데이터가 해당 영역에서 서명되었는지 검증합니다.
루트 trust anchor에서 시작한다
DS가 하위 영역 키를 연결한다
RRSIG가 RRset 무결성을 증명한다
Root
Trust Anchor
검증 리졸버가 신뢰하는 시작점입니다.
TLD
DS / DNSKEY
상위 영역의 DS가 하위 영역 키 해시를 가리킵니다.
Zone
DNSKEY
영역의 공개키로 서명을 검증합니다.
Answer
RRSIG + RRset
A, AAAA 같은 RRset이 바뀌지 않았는지 확인합니다.
제공
무결성
응답 데이터가 중간에서 바뀌었는지 검출합니다.
제공
출처 인증
해당 영역의 키로 서명된 데이터인지 확인합니다.
미제공
기밀성
질의 이름을 숨기지는 않습니다. 프라이버시는 DoT/DoH와 별개입니다.
운영 조건
DNSSEC은 서명된 영역, 올바른 DS 위임, 검증 리졸버가 함께 있을 때
효과가 있습니다. 설정 오류는 SERVFAIL로 드러나는 경우가
많습니다.