Permítame disculparme antes de que esta pregunta haya sido respondida. Lo miré bien y si está aquí, me lo perdí. Mi pregunta espera aclarar exactamente qué sucede cuando un resolvedor de validación consulta un servidor de nombres con conocimiento de DNSSEC para un RR. Pensé que entendía el proceso, luego leí una explicación escrita por alguien que creía que puede hablar con autoridad (sin intención de hacerlo) sobre el tema. Creo que la forma más fácil de hacer esto es explicar cómo pensé que se veía el proceso y luego la versión de contraste. Y espero que alguien entre todos ustedes pueda aclarar dónde podría estar yendo mal. Ejemplo A (o cómo pensé que funcionaba una consulta DNSSEC):
El host A envía una consulta a su servidor DNS de almacenamiento en caché recursivo para www.example.com El servidor recursivo envía una consulta iterativa a un servidor DNS que tiene autoridad para la zona raíz El servidor DNS raíz no puede responder a la consulta directamente, por lo que responde con:
A plain text referral for the authoritative name servers for the com zone
RRset of DNSKey records for the root zone (the root zone's PubKSK and PubZSK)
RRSig of the above DNSKey RRSet signed with the root zone's PvtKSK
DS record for the com zone (hash of the com zone's PubKSK)
RRSig of the above DS record (signed using the root zone's PvtZSK)
El servidor de almacenamiento en caché recursivo tiene una copia de PubKSK de la zona raíz, por lo que verifica los archivos anteriores de la siguiente manera:
The RRSig containing Root zone's DNSkey record is decrypted using the Root zone PubKSK (already held)
The hash of the Root PubKSK from the RRSig is compared to a hash of the Root PubKSK already held by the recursive server, to verify the authenticity of the key.
If the hashes match the key is trusted and therefore the Root PubZSK is also trusted and can be used to decrypt the RRSig of the DS record for the com zone
Once descrypted the hash of the come zone's PubKSK is compared to that in the DS record to verify that the com PubKSK can be trusted.
Este ha sido mi entendimiento de cómo funciona la cadena de confianza. Ahora que el servidor recursivo contiene la zona de com PubKSK, el proceso se repite, hasta los servidores de nombres de ejemplo que responden con la IP del servidor web para ese dominio.
Ejemplo B:
Recientemente leí la explicación de Josh Reed de una consulta en el párr. 1.5 '¿Cómo DNSSEC cambia la búsqueda de DNS?' en users.isc.org Y lo explica casi al revés.
En su explicación:
Host A queries it's recursive resolver for info on the web server www.isc.org
The recursive server's requests on behalf of Host A will be answered by the name-servers responsible for isc.org and contain the records required by DNSSEC.
La validación comienza ahora cuando el resolutor recursivo le pide al servidor de nombres isc.org las claves para su zona. Una vez que se proporcionan esas claves, el servidor recursivo luego consulta (el principal) para validar las respuestas de manera inversa al Ejemplo A, hasta que una clave confiable (probablemente o típicamente de la raíz) confirme que se puede confiar en la cadena.
La pregunta:
¿Puedo molestar a alguien con una mejor comprensión para confirmar que mi comprensión (como se explica en el Ejemplo A) es incorrecta? No dudo de Josh Reed, pero el segundo ejemplo parece ser menos eficiente.
Cualquier y todos los comentarios serían bienvenidos :-)