ग्लोबल DNSKEY Validation Tool
DNSKEY रिसोर्स रेकॉर्ड हा DNSSEC (Domain Name System Security Extensions) चा क्रिप्टोग्राफिक पाया आहे. मूळ DNS प्रोटोकॉल इनहेरेंटली अनएनक्रिप्टेड (unencrypted) आणि स्टेटलेस (stateless) आहे, ज्यामुळे तो कॅशे पॉयझनिंग (cache poisoning) आणि मॅन-इन-द-मिडल (MitM) स्पूफिंगला अत्यंत बळी पडण्याची शक्यता असते. DNSSEC हे DNS रिस्पॉन्सला गणितीय, क्रिप्टोग्राफिक सिग्नेचर जोडून सोडवते. DNSKEY रेकॉर्ड हे पब्लिक की रिपॉजिटरी म्हणून काम करते; यात Base64-एनकोडेड पब्लिक कीज (keys) असतात ज्यांचा वापर रिमोट रिझॉल्व्हर्स हे व्हेरिफाय करण्यासाठी करतात की A किंवा MX रेकॉर्डचे पेलोड खऱ्या अर्थाने ऑथॉरिटेटिव्ह नेमसर्व्हरवरून जनरेट झाले आहे आणि ट्रान्झिटमध्ये छेडछाड केली गेली नाही.
ZSK आणि KSK आर्किटेक्चर
एक स्टँडर्ड DNSSEC इम्प्लिमेंटेशन ऑपरेशनल कार्यक्षमतेसोबत सिक्युरिटी बॅलेंस करण्यासाठी दोन वेगवेगळ्या की (keys) डिप्लॉय करते. Zone Signing Key (ZSK) ही एक लहान, लोअर-ओव्हरहेड क्रिप्टोग्राफिक की आहे जी झोनमधील वैयक्तिक रेकॉर्ड्सवर (A, TXT, CNAME) वेगाने साईन (sign) करण्यासाठी वापरली जाते. कारण ते बल्क (bulk) सायनींग हँडल करते, ब्रूट-फोर्स क्रॅकिंग (brute-force cracking) टाळण्यासाठी ZSK वारंवार रोटेट केली जाते (उदा. दर 30 दिवसांनी). Key Signing Key (KSK) ही अधिक मजबूत, हेवीली गार्डेड की आहे. तिचा एकमात्र उद्देश ZSK ला साईन करणे हा आहे. या की वेगळ्या करून, ॲडमिनिस्ट्रेटर्स पॅरेंट TLD रजिस्ट्रीशी सतत संवाद साधण्याची गरज न पडता नेमसर्व्हरवर लोकली ZSK रोटेट करू शकतात.
The Chain of Trust आणि DS Records
तुमच्या झोनमध्ये DNSKEY रेकॉर्ड पब्लिश करणे निरुपयोगी आहे जोपर्यंत इंटरनेटच्या रूटपर्यंत पोहोचणारा एक व्हेरिफाय करण्यायोग्य विश्वासाचा मार्ग (Chain of Trust) नसेल. एकदा KSK ने सिग्नेचर जनरेट केली की, त्या KSK चा मॅथेमॅटिकल हॅश डोमेन रजिस्ट्रारकडे DS (Delegation Signer) रेकॉर्ड म्हणून सबमिट केला जातो. रजिस्ट्रार हे DS रेकॉर्ड पॅरेंट TLD झोनमध्ये (उदा. .com रजिस्ट्री) पब्लिश करतो. जेव्हा एखादा रिकर्सिव्ह रिझॉल्व्हर तुमच्या डोमेनला क्वेरी करतो, तेव्हा तो KSK ऑथेंटिकेट करण्यासाठी पॅरेंटकडून DS रेकॉर्ड फेच करतो, ZSK ऑथेंटिकेट करण्यासाठी KSK वापरतो आणि फायनल IP ॲड्रेस ऑथेंटिकेट करण्यासाठी ZSK वापरतो. जर या क्रिप्टोग्राफिक साखळीतील कोणताही दुवा तुटला, तर व्हॅलिडेशन पूर्णपणे फेल होईल.
कॅटॅस्ट्रोफिक SERVFAIL आऊटेजेस
DNSKEY रेकॉर्ड्स मॅनेज करण्यासाठी ॲबसोल्युट प्रिसीजन (precision) आवश्यक आहे. DNSSEC हे "फेल क्लोज्ड (fail closed)" करण्यासाठी डिझाइन केले आहे. जर एखाद्या ऑटोमेटेड स्क्रिप्टने सर्व्हरवर ZSK रोटेट केली परंतु संबंधित पब्लिक DNSKEY रेकॉर्ड ग्लोबल झोनमध्ये अपडेट झाले नाही, तर क्रिप्टोग्राफिक सिग्नेचर मिसमॅच (mismatch) होईल. ISPs आणि पब्लिक रिझॉल्व्हर्स जसे की Google (8.8.8.8) आणि Cloudflare (1.1.1.1) याचा अर्थ ॲक्टिव्ह सायबर ॲटॅक असा लावतील. ते तात्काळ DNS रिस्पॉन्स ड्रॉप करतील आणि क्लायंटला फॅटल (fatal) SERVFAIL स्टेटस देतील, जोपर्यंत कीज मॅन्युअली सिंक्रोनाइज होत नाहीत किंवा रजिस्ट्रार स्तरावर DNSSEC पूर्णपणे डिसेबल होत नाही तोपर्यंत इंटरनेटवरून डोमेन प्रभावीपणे पुसून टाकतील.