Global DNSKEY Validation Tool
DNSKEY রিসোর্স রেকর্ড হলো DNSSEC (Domain Name System Security Extensions)-এর ক্রিপ্টোগ্রাফিক ভিত্তি। কোর DNS প্রোটোকলটি সহজাতভাবেই আনএনক্রিপ্টেড এবং স্টেটলেস (stateless), যা একে ক্যাশ পয়জনিং (cache poisoning) এবং ম্যান-ইন-দ্য-মিডল (MitM) স্পুফিংয়ের (spoofing) প্রতি অত্যন্ত সংবেদনশীল করে তোলে। DNSSEC, DNS রেসপন্সগুলোতে গাণিতিক, ক্রিপ্টোগ্রাফিক সিগনেচার অ্যাটাচ করার মাধ্যমে এর সমাধান করে। DNSKEY রেকর্ড পাবলিক কি রিপোজিটরি হিসেবে কাজ করে; এটি Base64-এনকোডেড পাবলিক কি (keys) ধারণ করে যা রিমোট রিজলভাররা ভেরিফাই করার জন্য ব্যবহার করে যে A বা MX রেকর্ডের পে-লোড আসলেই Authoritative Nameserver থেকে অরিজিনেট হয়েছে এবং ট্রানজিটের সময় কোনো টেম্পারিং (tampering) বা কারসাজি করা হয়নি।
ZSK এবং KSK Architecture
একটি স্ট্যান্ডার্ড DNSSEC ইমপ্লিমেন্টেশন অপারেশনাল এফিশিয়েন্সির সাথে সিকিউরিটির ব্যালেন্স করার জন্য দুটি আলাদা কি (key) ডিপ্লয় করে। Zone Signing Key (ZSK) হলো একটি ছোট, লোয়ার-ওভারহেড ক্রিপ্টোগ্রাফিক কি যা জোনের মধ্যে থাকা আলাদা রেকর্ডগুলোতে (A, TXT, CNAME) দ্রুত সাইন করার জন্য ব্যবহৃত হয়। যেহেতু এটি বাল্ক সাইনিং হ্যান্ডেল করে, ব্রুট-ফোর্স (brute-force) ক্র্যাকিং রোধ করতে ZSK ঘন ঘন (যেমন, প্রতি 30 দিনে) রোটেট করা হয়। Key Signing Key (KSK) হলো অনেক শক্তিশালী, কড়া পাহারায় থাকা একটি কি। এর একমাত্র উদ্দেশ্য হলো ZSK-কে সাইন করা। এই কি-গুলোকে আলাদা করার মাধ্যমে, অ্যাডমিনিস্ট্রেটররা প্যারেন্ট TLD রেজিস্ট্রির সাথে ক্রমাগত যোগাযোগ করার প্রয়োজন ছাড়াই নেমসার্ভারে লোকালভাবে ZSK রোটেট করতে পারেন।
The Chain of Trust এবং DS Records
আপনার জোনে একটি DNSKEY রেকর্ড পাবলিশ করা অর্থহীন যদি না ইন্টারনেটের রুট পর্যন্ত বিস্তৃত একটি ভেরিফায়েবল চেইন অফ ট্রাস্ট (Chain of Trust) থাকে। একবার KSK কোনো সিগনেচার জেনারেট করলে, ঐ KSK-এর একটি ম্যাথমেটিক্যাল হ্যাশ (hash) ডোমেইন রেজিস্ট্রারের কাছে DS (Delegation Signer) রেকর্ড হিসেবে সাবমিট করা হয়। রেজিস্ট্রার এই DS রেকর্ডটি প্যারেন্ট TLD জোনে (যেমন .com রেজিস্ট্রি) পাবলিশ করে। কোনো রিকার্সিভ রিজলভার যখন আপনার ডোমেইনে কোয়েরি করে, তখন এটি KSK অথেন্টিকেট করার জন্য প্যারেন্ট থেকে DS রেকর্ড ফেচ করে, ZSK অথেন্টিকেট করার জন্য KSK ব্যবহার করে, এবং ফাইনাল IP অ্যাড্রেস অথেন্টিকেট করার জন্য ZSK ব্যবহার করে। এই ক্রিপ্টোগ্রাফিক চেইনের কোনো একটি লিঙ্ক ভেঙে গেলে, ভ্যালিডেশন সম্পূর্ণভাবে ফেইল করে।
Catastrophic SERVFAIL Outages
DNSKEY রেকর্ড ম্যানেজ করার জন্য শতভাগ নির্ভুলতা প্রয়োজন। DNSSEC-কে "ফেইল ক্লোজড" (fail closed) হওয়ার জন্য ডিজাইন করা হয়েছে। যদি কোনো অটোমেটেড স্ক্রিপ্ট সার্ভারে ZSK রোটেট করে কিন্তু কোরসপন্ডিং পাবলিক DNSKEY রেকর্ডটি গ্লোবাল জোনে আপডেট না হয়, তবে ক্রিপ্টোগ্রাফিক সিগনেচার মিসম্যাচ হবে। ISP এবং Google (8.8.8.8) ও Cloudflare (1.1.1.1)-এর মতো পাবলিক রিজলভাররা একে একটি অ্যাকটিভ সাইবার অ্যাটাক হিসেবে ব্যাখ্যা করবে। তারা সাথে সাথেই DNS রেসপন্স ড্রপ করে দেবে এবং ক্লায়েন্টের কাছে একটি ফ্যাটাল (fatal) SERVFAIL স্ট্যাটাস রিটার্ন করবে, ম্যানুয়ালি কি (keys) সিঙ্ক্রোনাইজ না করা পর্যন্ত বা রেজিস্ট্রার লেভেলে DNSSEC সম্পূর্ণভাবে ডিজেবল না করা পর্যন্ত কার্যকরভাবে ইন্টারনেট থেকে ডোমেইনটিকে মুছে ফেলবে।