Global DNSKEY Validation Tool
DNSKEY रिसोर्स रिकॉर्ड DNSSEC (Domain Name System Security Extensions) की क्रिप्टोग्राफ़िक नींव है। कोर DNS प्रोटोकॉल स्वाभाविक रूप से अनएन्क्रिप्टेड और स्टेटलेस है, जो इसे कैश पॉइज़निंग और मैन-इन-द-मिडिल (MitM) स्पूफिंग के प्रति अत्यधिक संवेदनशील बनाता है। DNSSEC DNS प्रतिक्रियाओं में गणितीय, क्रिप्टोग्राफ़िक हस्ताक्षर संलग्न करके इसे हल करता है। DNSKEY रिकॉर्ड सार्वजनिक कुंजी रिपॉजिटरी के रूप में कार्य करता है; इसमें Base64-एन्कोडेड सार्वजनिक कुंजियाँ होती हैं जिनका उपयोग दूरस्थ रिज़ॉल्वर यह सत्यापित करने के लिए करते हैं कि A या MX रिकॉर्ड का पेलोड वास्तव में अथॉरिटेटिव नेमसर्वर से उत्पन्न हुआ है और पारगमन में छेड़छाड़ नहीं की गई है।
ZSK और KSK Architecture
एक मानक DNSSEC कार्यान्वयन परिचालन दक्षता के साथ सुरक्षा को संतुलित करने के लिए दो अलग-अलग कुंजियों को डिप्लॉय करता है। Zone Signing Key (ZSK) एक छोटी, कम-ओवरहेड क्रिप्टोग्राफ़िक कुंजी है जिसका उपयोग ज़ोन के भीतर व्यक्तिगत रिकॉर्ड (A, TXT, CNAME) को तेज़ी से हस्ताक्षर करने के लिए किया जाता है। चूँकि यह बल्क साइनिंग को संभालता है, ब्रूट-फ़ोर्स क्रैकिंग को रोकने के लिए ZSK को बार-बार (जैसे, हर 30 दिन में) रोटेट किया जाता है। Key Signing Key (KSK) एक बहुत मजबूत, भारी सुरक्षा वाली कुंजी है। इसका एकमात्र उद्देश्य ZSK को स्वयं साइन करना है। इन कुंजियों को अलग करके, एडमिनिस्ट्रेटर पैरेंट TLD रजिस्ट्री के साथ लगातार संवाद करने की आवश्यकता के बिना स्थानीय रूप से नेमसर्वर पर ZSK को रोटेट कर सकते हैं।
The Chain of Trust और DS Records
अपने ज़ोन में DNSKEY रिकॉर्ड प्रकाशित करना तब तक बेकार है जब तक कि इंटरनेट की जड़ तक विस्तृत एक सत्यापन योग्य विश्वास पथ (Path of trust) न हो। एक बार जब KSK हस्ताक्षर उत्पन्न कर देता है, तो उस KSK का गणितीय हैश DS (Delegation Signer) रिकॉर्ड के रूप में डोमेन रजिस्ट्रार को सबमिट किया जाता है। रजिस्ट्रार इस DS रिकॉर्ड को पैरेंट TLD ज़ोन (जैसे .com रजिस्ट्री) में प्रकाशित करता है। जब कोई रिकर्सिव रिज़ॉल्वर आपके डोमेन को क्वेरी करता है, तो वह KSK को प्रमाणित करने के लिए पैरेंट से DS रिकॉर्ड लाता है, ZSK को प्रमाणित करने के लिए KSK का उपयोग करता है, और अंतिम IP पते को प्रमाणित करने के लिए ZSK का उपयोग करता है। यदि इस क्रिप्टोग्राफ़िक श्रृंखला में कोई भी लिंक टूट जाता है, तो सत्यापन पूरी तरह से विफल हो जाता है।
Catastrophic SERVFAIL Outages
DNSKEY रिकॉर्ड प्रबंधित करने के लिए पूर्ण सटीकता की आवश्यकता होती है। DNSSEC को "फेल क्लोज्ड (fail closed)" के लिए डिज़ाइन किया गया है। यदि कोई स्वचालित स्क्रिप्ट सर्वर पर ZSK को घुमाती है, लेकिन संबंधित सार्वजनिक DNSKEY रिकॉर्ड वैश्विक ज़ोन में अपडेट नहीं होता है, तो क्रिप्टोग्राफ़िक हस्ताक्षर बेमेल होंगे। ISP और सार्वजनिक रिज़ॉल्वर जैसे Google (8.8.8.8) और Cloudflare (1.1.1.1) इसे एक सक्रिय साइबर हमले के रूप में व्याख्या करेंगे। वे तुरंत DNS प्रतिक्रिया छोड़ देंगे और क्लाइंट को एक घातक SERVFAIL स्थिति लौटाएंगे, इंटरनेट से डोमेन को प्रभावी ढंग से तब तक मिटा देंगे जब तक कि कुंजियों को मैन्युअल रूप से सिंक्रनाइज़ नहीं किया जाता है या रजिस्ट्रार स्तर पर DNSSEC पूरी तरह से अक्षम नहीं हो जाता है।