概要
- LinuC303の勉強を始めたはいいが、202の勉強を丸暗記で乗り越えたためほとんど話を思い出せなかった
- ちゃんと解説を見てみると中々理解に苦労したので、その過程で整理したDNSSECの仕組みを記事にする
仕組み
-
たぶん間違ってるけど、きっとこういうことなのかなと理解した
-
(上位の権威DNSサーバが正当である前提で)DNSKEYレコードを上位に登録することでDNSKEYの正当性が証明される=ZSK(OR KSK)の公開鍵が正当であると証明される
-
キャッシュサーバはZSKで暗号化されたゾーン情報を受け取り、正当と証明されたZSKの公開鍵で開錠する。開錠できたら送り元の権威DNSサーバは正当なものだと証明される
-
上位の権威サーバの正当性をどこまで遡るのかはキャッシュDNSサーバに登録するトラストアンカーで決定する(ルートDNSのDNSKEYレコードがDSレコードを登録する)
感想
頑張ってLinuC303合格したい