- Genel bakış
- DNS sorguları istemci → recursive resolver (RR) → kök sunucu → TLD sunucusu → yetkili DNS sırasıyla ilerler
- Burada kök ve TLD katmanlarındaki güven, anahtar tabanlı imzalarla korunur
- Bu belgede, kök imzalama töreninde anahtarların hangi prosedürlerle yenilendiği ayrıntılı olarak inceleniyor
- İçerik
- Kök DNSSEC iki tür anahtar kullanır
- KSK (Key Signing Key): tüm DNSKEY kümesini imzalayan en üst düzey imzalama anahtarı
- ZSK (Zone Signing Key): her zone'un kayıtlarını imzalayan anahtar
- KSK daha önce 7 yıllık aralıklarla rollover yapıyordu, ancak artık bunun her 3 yılda bir yapılacağı belirtiliyor
- ZSK ise her 3 ayda bir yenileniyor
- Bunun için ICANN öncülüğünde kök imzalama töreni, çok sayıda güvenlik sorumlusu ve HSM tabanlı çoklu kimlik doğrulama ile yürütülüyor; süreç YouTube Live üzerinden de kamuya açık biçimde yayınlanıyor
- Törende kullanılan belgeler, checksum doğrulaması ve herkese açık loglar ile kayıt videoları daha sonra dışarıyla paylaşılıyor
- Sonuç
- Bu şeffaf süreç sayesinde, internetin en üst düzey güveninin çekirdeği olan kök DNS, kriptografik bütünlük ve güven sistemiyle korunmaya devam ediyor
1 yorum
Bulanık anılarımdaki bu videoyu uzun zamandır bulmaya çalışıyordum ama kavramı bilmediğim için bulamıyordum; sonunda karşıma çıktı. Teşekkürler!