- Tổng quan
- Truy vấn DNS diễn ra theo thứ tự client → recursive resolver (RR) → máy chủ gốc → máy chủ TLD → DNS có thẩm quyền
- Ở đây, độ tin cậy của các lớp gốc và TLD được duy trì bằng chữ ký dựa trên khóa
- Tài liệu này tìm hiểu chi tiết các thủ tục được thực hiện để cập nhật trong lễ ký gốc
- Nội dung
- Root DNSSEC sử dụng hai loại khóa
- KSK (Key Signing Key): khóa ký cấp cao nhất dùng để ký toàn bộ tập DNSKEY
- ZSK (Zone Signing Key): khóa dùng để ký các bản ghi của từng vùng (zone)
- KSK từng được rollover theo chu kỳ 7 năm, nhưng nay sẽ được thực hiện một lần mỗi 3 năm
- ZSK được cập nhật mỗi 3 tháng
- Để phục vụ việc này, lễ ký gốc do ICANN chủ trì được tiến hành với nhiều nhân sự phụ trách an ninh và cơ chế xác thực đa yếu tố dựa trên HSM, đồng thời quá trình được công khai qua YouTube Live
- Các tài liệu dùng trong lễ ký, việc xác minh checksum, nhật ký công khai và video ghi hình sau đó sẽ được chia sẻ ra bên ngoài
- Kết luận
- Thông qua quy trình minh bạch này, root DNS, nền tảng của lớp tin cậy cao nhất trên Internet, được duy trì bằng tính toàn vẹn mật mã và hệ thống tin cậy
1 bình luận
Tôi đã tìm đoạn video này từ rất lâu trong ký ức mơ hồ, nhưng vì không biết khái niệm nên mãi không tìm ra, giờ cuối cùng cũng được xem rồi. Cảm ơn bạn!