گلوبل DNSKEY توثیق کا آلہ
DNSKEY ریسورس ریکارڈ DNSSEC (Domain Name System Security Extensions) کی کرپٹوگرافک بنیاد ہے۔ بنیادی DNS پروٹوکول فطری طور پر غیر انکرپٹڈ اور بے ریاست (stateless) ہے، جو اسے کیش پوائزننگ (cache poisoning) اور مین-ان-دی-مڈل (MitM) سپوفنگ کے لیے انتہائی حساس بناتا ہے۔ DNSSEC اس مسئلے کو DNS جوابات کے ساتھ ریاضیاتی، کرپٹوگرافک دستخطوں کو جوڑ کر حل کرتا ہے۔ DNSKEY ریکارڈ پبلک کی (public key) کے ذخیرے کے طور پر کام کرتا ہے؛ اس میں Base64-انکوڈ شدہ پبلک کیز ہوتی ہیں جنہیں ریموٹ ریزولورز (resolvers) اس بات کی تصدیق کرنے کے لیے استعمال کرتے ہیں کہ A یا MX ریکارڈز کا پے لوڈ (Payload) درحقیقت مستند نیم سرور سے پیدا ہوا تھا اور راستے میں اس کے ساتھ چھیڑ چھاڑ نہیں کی گئی تھی۔
ZSK اور KSK آرکیٹیکچر
ایک معیاری DNSSEC عمل درآمد آپریشنل کارکردگی کے ساتھ سیکیورٹی کو متوازن کرنے کے لیے دو الگ الگ کلیدیں ڈپلائے کرتا ہے۔ زون سائننگ کی (Zone Signing Key - ZSK) ایک چھوٹی، کم اوور ہیڈ والی کرپٹوگرافک کلید ہے جو زون کے اندر انفرادی ریکارڈز (A, TXT, CNAME) پر تیزی سے دستخط کرنے کے لیے استعمال ہوتی ہے۔ چونکہ یہ بلک سائننگ (bulk signing) کو سنبھالتی ہے، اس لیے ZSK کو بار بار تبدیل (rotate) کیا جاتا ہے (مثال کے طور پر، ہر 30 دن بعد) تاکہ بروٹ فورس کریکنگ (brute-force cracking) کو روکا جا سکے۔ کی سائننگ کی (Key Signing Key - KSK) اس سے کہیں زیادہ مضبوط اور بھاری حفاظتی کلید ہے۔ اس کا واحد مقصد خود ZSK پر دستخط کرنا ہے۔ ان کلیدوں کو الگ کر کے، ایڈمنسٹریٹرز بنیادی TLD رجسٹری کے ساتھ مسلسل بات چیت کرنے کی ضرورت کے بغیر مقامی طور پر نیم سرور پر ZSK کو روٹیٹ (rotate) کر سکتے ہیں۔
ٹرسٹ کی زنجیر (Chain of Trust) اور DS ریکارڈز
آپ کے زون میں DNSKEY ریکارڈ شائع کرنا تب تک بیکار ہے جب تک کہ انٹرنیٹ کی جڑ تک کوئی قابل تصدیق اعتماد کا راستہ (path of trust) نہ ہو۔ ایک بار جب KSK دستخط تیار کر لیتا ہے، تو اس KSK کا ایک ریاضیاتی ہیش (hash) ڈومین رجسٹرار کے پاس DS (Delegation Signer) ریکارڈ کے طور پر جمع کرایا جاتا ہے۔ رجسٹرار اس DS ریکارڈ کو پیرنٹ TLD زون (جیسے .com رجسٹری) میں شائع کرتا ہے۔ جب ایک recursive resolver آپ کے ڈومین کے لیے کیوری کرتا ہے، تو وہ KSK کی تصدیق کے لیے پیرنٹ سے DS ریکارڈ لاتا ہے، ZSK کی تصدیق کے لیے KSK کا استعمال کرتا ہے، اور حتمی IP ایڈریس کی تصدیق کے لیے ZSK کا استعمال کرتا ہے۔ اگر اس کرپٹوگرافک زنجیر میں کوئی بھی کڑی ٹوٹ جاتی ہے، تو توثیق مکمل طور پر ناکام ہو جاتی ہے۔
تباہ کن SERVFAIL بندشیں
DNSKEY ریکارڈز کے انتظام کے لیے مکمل درستگی کی ضرورت ہوتی ہے۔ DNSSEC کو "فیل کلوزڈ" (fail closed) ہونے کے لیے ڈیزائن کیا گیا ہے۔ اگر کوئی خودکار اسکرپٹ سرور پر ZSK کو روٹیٹ کرتا ہے لیکن متعلقہ پبلک DNSKEY ریکارڈ گلوبل زون میں اپ ڈیٹ نہیں ہوتا ہے، تو کرپٹوگرافک دستخط مماثل نہیں ہوں گے۔ ISPs اور پبلک ریزولورز جیسے Google (8.8.8.8) اور Cloudflare (1.1.1.1) اس کی تشریح ایک فعال سائبر حملے کے طور پر کریں گے۔ وہ فوری طور پر DNS جواب گرا دیں گے اور کلائنٹ کو ایک مہلک SERVFAIL اسٹیٹس واپس کر دیں گے، ڈومین کو مؤثر طریقے سے انٹرنیٹ سے مٹا دیں گے جب تک کہ کلیدوں کو دستی طور پر ہم آہنگ (synchronize) نہیں کیا جاتا یا رجسٹرار کی سطح پر DNSSEC کو مکمل طور پر غیر فعال نہیں کر دیا جاتا۔