A DNSSEC hitelesítés azt igazolja, hogy egy adott domaintartományban jogosan van jelen a lekért domain, és végül nem egy kártékony weboldalon kötünk majd ki, hanem valóban ott, ahová “indultunk”.

A védelem nélküli domainek számos kockázatnak vannak kitéve. Minden évben egyre több és több támadás éri a kibertéren keresztül mind az egyes felhasználókat, mind a vállalati rendszereket, domaineket – a kárt okozni akaró vagy adatokra utazó rosszindulatú behatolók számára nem létezik olyan célpont, amelyet ne próbálnának feltörni.

A domainnév rendszer (Domain Name System, DNS) alapesetben számos rést tartalmaz, amelyek által a támadók visszaélhetnek e-mail fiókokkal, a DNS ellenőrzésnél rést üthetnek a spamszűrőn, de akár bizalmas adatok eltávolítására vagy a weboldalon keresztül történő támadásra is alkalmat találhatnak.

Hogyan véd a DNSSEC?

A teljes nevén Domain Name System Security Extensions (Domain név rendszer biztonsági kierjesztés) biztonsági protokoll elsősorban a webböngésző és az elérni kívánt domain közötti kommunikáció biztonságosabbá tételére szolgál. Alapesetben a domainek egy szakavatott rosszakaró számára viszonylag könnyen “eltéríthető”, hogy a látogató végül egy hamis weboldalra érkezzen meg.

A DNSSEC használatával hitelesíthetőek az adott domain feleletei mind a böngésző, mit a DNS-szerver számára, így minimalizálják annak az esélyét, hogy a felhasználók végül más weboldalon kössenek ki, mint ahová eredetileg tartottak.

A DNSSEC protokoll használatával tehát bármely weboldal biztonságosabbá tehető a látogatók számára. Nem szolgálja a titkosítást, csak a hitelesítést. A DNS-információk nyilvánosak, s ez a rendszer azt szavatolja, hogy a látogatókat soha ne vezethessék félre.

A biztonsági rendszer biztonsága

Az internet őrei a DNSSEC biztonsága érdekében olyan intézkedéseket hoztak évekkel ezelőtt, hogy még egy atomrakéta kilövése is egyszerűbb volna, mint a mesterkulcsot megszerezni. A kódokat ugyanis, amelyek ehhez szükségesek, hét ember között osztották szét, s ahhoz, hogy az egész rendszert (gyakorlatilag magát az internet alapját) újraindítsák valamilyen “gond” esetén, legalább öten kellenek.

Nekik fizikailag is jelen kell lenniük egy amerikai katonai bázison, chipkártyájukkal egyetemben. Ilyen gond az lehet, hogy ha valami gond támadna a rendszerben, s az azonosítás nem volna lehetséges, az IP-címeket a rendszer nem tudná a domainekhez kapcsolni, aki magát a katasztrófát jelentené a net számára.