Megosztás a következőn keresztül:

A DNSSEC áttekintése

Ez a cikk áttekintést nyújt a tartománynévrendszer biztonsági bővítményeiről (DNSSEC), és bemutatja a DNSSEC terminológiáját. A DNSSEC-zónaaláírás előnyeit ismertetjük, és példákat biztosítunk a DNSSEC-hez kapcsolódó erőforrásrekordok megtekintéséhez. Ha készen áll az Azure nyilvános DNS-zóna aláírására, tekintse meg az alábbi útmutatókat:

Mi az a DNSSEC?

A DNSSEC egy olyan bővítménycsomag, amely a DNS-protokollhoz ad biztonságot azáltal, hogy lehetővé teszi a DNS-válaszok valódiként való érvényesítését. A DNSSEC forráshatóságot, adatintegritást és hitelesített létezésmegtagadást biztosít. A DNSSEC esetében a DNS protokoll sokkal kevésbé érzékeny bizonyos típusú támadásokra, különösen a DNS-hamisítási támadásokra.

Az alapvető DNSSEC-bővítmények a következő Megjegyzések kérésében vannak megadva:

  • RFC 4033: "A DNS biztonsági bemutatása és követelményei"
  • RFC 4034: "A DNS biztonsági bővítmények erőforrásrekordjai"
  • RFC 4035: "Protokollmódosítások a DNS biztonsági bővítményeihez"

A DNSSEC RFC-k összefoglalását a következő RFC9364: DNS Security Extensions (DNSSEC) című cikkben talál.

A DNSSEC működése

A DNS-zónákat a DNSSEC védi egy zónaaláírás nevű folyamattal. A zónák DNSSEC-sel való aláírása a DNS-lekérdezések és -válaszok alapvető mechanizmusának módosítása nélkül támogatja az érvényesítési támogatást. Ha DNSSEC-vel szeretne aláírni egy zónát, a zóna elsődleges mérvadó DNS-kiszolgálójának támogatnia kell a DNSSEC-et.

Az erőforrásrekord-aláírások (RRSIG-k) és más titkosítási rekordok aláírásakor a rendszer hozzáadja a zónához. Az alábbi ábra a zóna DNS-erőforrásrekordjait mutatja be, contoso.com zónaaláírás előtt és után.

Egy diagram, amely bemutatja, hogyan lesznek hozzáadva az RRSIG-rekordok egy zónához, amikor a DNSSEC-sel van aláírva.

A DNS-válaszok DNSSEC-érvényesítése ezen digitális aláírások töretlen megbízhatósági lánccal történő használatával történik.

Feljegyzés

A DNSSEC-hez kapcsolódó erőforrásrekordok nem jelennek meg az Azure Portalon. További információ: DNSSEC-hez kapcsolódó erőforrásrekordok megtekintése.

Miért érdemes aláírni egy zónát a DNSSEC használatával?

A zónák DNSSEC-lel való aláírására bizonyos biztonsági irányelveknek való megfeleléshez van szükség, például az SC-20: Biztonságos név/címfeloldási szolgáltatás.

A DNS-válaszok DNSSEC-érvényesítése megakadályozhatja a DNS-eltérítési támadások gyakori típusait, más néven DNS-átirányítást. A DNS-eltérítés akkor történik, ha az ügyféleszközt helytelen (hamisított) DNS-válaszok használatával átirányítják egy rosszindulatú kiszolgálóra. A DNS-gyorsítótár-mérgezés gyakori módszer a DNS-válaszok meghamisítására.

Az alábbi ábrán egy példa látható a DNS-eltérítés működésére.

A DNS-eltérítés működését bemutató diagram.

Normál DNS-feloldás:

  1. Az ügyféleszköz DNS-lekérdezést küld contoso.com egy DNS-kiszolgálónak.
  2. A DNS-kiszolgáló a contoso.com DNS-erőforrásrekordjával válaszol.
  3. Az ügyféleszköz választ kér contoso.com.
  4. A contoso.com alkalmazás vagy webkiszolgáló választ ad vissza az ügyfélnek.

DNS-eltérítés

  1. Az ügyféleszköz dns-lekérdezést küld contoso.com egy eltérített DNS-kiszolgálónak.
  2. A DNS-kiszolgáló érvénytelen (hamisított) DNS-erőforrásrekorddal válaszol contoso.com.
  3. Az ügyféleszköz választ kér contoso.com rosszindulatú kiszolgálótól.
  4. A rosszindulatú kiszolgáló hamis választ ad vissza az ügyfélnek.

A hamisított DNS-erőforrásrekord típusa a DNS-eltérítési támadás típusától függ. Előfordulhat, hogy egy MX rekord meghamisítással átirányítja az ügyfél e-mailjeit, vagy egy hamis A rekord egy rosszindulatú webkiszolgálóra küldi az ügyfeleket.

A DNSSEC a DNS-válaszok ellenőrzésével megakadályozza a DNS-eltérítést. Az itt látható DNS-eltérítési forgatókönyvben az ügyféleszköz elutasíthatja a nem érvényesített DNS-válaszokat, ha a contoso.com tartomány a DNSSEC-sel van aláírva. A nem ellenőrzött DNS-válaszok elutasításához az ügyféleszköznek a DNSSEC-ellenőrzést kell kikényszerítenie contoso.com.

A DNSSEC a Következő biztonságos 3 (NSEC3) protokollt is tartalmazza a zóna számbavételének megakadályozása érdekében. A zónabesoroltatás( más néven zónajárás) egy olyan támadás, amely során a támadó létrehozza a zónában lévő összes név listáját, beleértve a gyermekzónákat is.

Mielőtt dnsSEC-sel aláírna egy zónát, mindenképpen ismerje meg a DNSSEC működését. Ha készen áll egy zóna aláírására, olvassa el az Azure Nyilvános DNS-zóna dnsSEC-sel való aláírását ismertető témakört.

DNSSEC érvényesítése

Ha egy DNS-kiszolgáló DNSSEC-képes, beállíthatja a DNSSEC OK (DO) jelzőt egy DNS-lekérdezésben a következő 1értékre: . Ez az érték arra utasítja a válaszoló DNS-kiszolgálót, hogy tartalmazza a DNSSEC-hez kapcsolódó erőforrásrekordokat a válaszsal. Ezek a DNSSEC-rekordok erőforrásrekord-aláírási (RRSIG) rekordok, amelyek a DNS-válasz valódiságának ellenőrzésére szolgálnak.

A rekurzív (nem mérvadó) DNS-kiszolgáló dnsSEC-ellenőrzést végez az RRSIG-rekordokon egy megbízhatósági horgony (DNSKEY) használatával. A kiszolgáló DNSKEY használatával fejti vissza a digitális aláírásokat az RRSIG-rekordokban (és más DNSSEC-hez kapcsolódó rekordokban), majd kiszámítja és összehasonlítja a kivonatértékeket. Ha a kivonat értékei megegyeznek, választ ad a DNS-ügyfélnek a kért DNS-adatokkal, például egy állomáscímrekorddal (A). Tekintse meg a következő ábrát:

A DNSSEC-ellenőrzés működését bemutató diagram.

Ha a kivonat értékei nem azonosak, a rekurzív DNS-kiszolgáló egy SERVFAIL-üzenettel válaszol. Ily módon a DNSSEC-kompatibilis, érvényes megbízhatósági horgonyt tartalmazó DNS-kiszolgálók feloldása (vagy továbbítása) védelmet nyújthat a DNS-eltérítés ellen a rekurzív kiszolgáló és a mérvadó kiszolgáló közötti útvonalon. Ez a védelem nem követeli meg, hogy a DNS-ügyféleszközök DNSSEC-képesek legyenek, vagy a DNS-válasz érvényesítését kényszerítse ki, feltéve, hogy a helyi (utolsó ugrás) rekurzív DNS-kiszolgáló maga is biztonságos az eltérítés ellen.

A Windows 10 és a Windows 11 rendszerű ügyféleszközök nem riadnak meg a biztonságra vonatkozó csonkfeloldóktól. Ezek az ügyféleszközök nem végeznek érvényesítést, de csoportházirenddel kényszeríthetik a DNSSEC-ellenőrzést. Az NRPT névtéralapú DNSSEC-érvényesítési szabályzat létrehozására és kikényszerítésére használható.

Megbízható horgonyok és DNSSEC-ellenőrzés

Feljegyzés

A DNSSEC-válasz érvényesítését az alapértelmezett Azure-beli feloldó nem hajtja végre. Az ebben a szakaszban található információk akkor hasznosak, ha saját rekurzív DNS-kiszolgálókat állít be a DNSSEC érvényesítéséhez vagy az érvényesítési problémák elhárításához.

A megbízhatósági horgonyok a DNS névtérhierarchiája alapján működnek. A rekurzív DNS-kiszolgálók tetszőleges számú megbízhatósági horgonyt tartalmazhatnak, vagy nincsenek megbízhatósági horgonyok. A megbízhatósági horgonyok hozzáadhatók egyetlen gyermek DNS-zónához vagy bármely szülőzónához. Ha egy rekurzív DNS-kiszolgáló rendelkezik egy gyökérszintű (.) megbízhatósági horgonysal, akkor bármely DNS-zónában elvégezheti a DNSSEC-ellenőrzést. További információ: Gyökérzóna operátorának adatai.

A DNSSEC ellenőrzési folyamata a következő megbízhatósági horgonyokkal működik:

  • Ha egy rekurzív DNS-kiszolgáló nem rendelkezik DNSSEC megbízhatósági horgonysal egy zónához vagy a zóna szülő hierarchikus névteréhez, akkor nem hajtja végre a DNSSEC-ellenőrzést a zónán.
  • Ha a rekurzív DNS-kiszolgáló rendelkezik DNSSEC megbízhatósági horgonysal egy zóna szülőnévteréhez, és a gyermekzóna lekérdezését kapja, ellenőrzi, hogy a gyermekzónákhoz tartozó DS-rekord szerepel-e a szülőzónában.
    • Ha a DS rekord megtalálható, a rekurzív DNS-kiszolgáló DNSSEC-ellenőrzést hajt végre.
    • Ha a rekurzív DNS-kiszolgáló megállapítja, hogy a szülőzóna nem rendelkezik DS-rekorddal a gyermekzónához, feltételezi, hogy a gyermekzóna nem biztonságos, és nem hajtja végre a DNSSEC-ellenőrzést.
  • Ha több rekurzív DNS-kiszolgáló is részt vesz egy DNS-válaszban (beleértve a továbbítókat is), minden kiszolgálónak képesnek kell lennie DNSSEC-ellenőrzést végezni a válaszon, hogy megszakadjon a megbízhatósági lánc.
  • Azok a rekurzív kiszolgálók, amelyeknél a DNSSEC-ellenőrzés le van tiltva, vagy nem RENDELKEZNEK DNSSEC-sel, nem hajtanak végre ellenőrzést.

Megbízhatósági lánc

A megbízhatósági lánc akkor fordul elő, ha a DNS-lekérdezésre adott válasz küldésében részt vevő összes DNS-kiszolgáló ellenőrizni tudja, hogy a válasz nem módosult-e az átvitel során. Ahhoz, hogy a DNSSEC-ellenőrzés teljes körűen működjön, a megbízhatósági láncnak töretlennek kell lennie. Ez a megbízhatósági lánc mérvadó és nem mérvadó (rekurzív) kiszolgálókra is vonatkozik.

Mérvadó kiszolgálók

A mérvadó DNS-kiszolgálók megbízhatósági láncot tartanak fenn a delegálás-aláíró (DS) rekordok használatával. A DS-rekordok a DNS-hierarchiában lévő gyermekzónák hitelességének ellenőrzésére szolgálnak.

  • Ahhoz, hogy a DNSSEC-ellenőrzés egy aláírt zónán történjen, az aláírt zóna szülőjének is alá kell írnia. A szülőzónának DS-rekordot is tartalmaznia kell a gyermekzónához.
  • Az érvényesítési folyamat során a rendszer lekérdezi a zóna szülőjét a DS-rekordhoz. Ha a DS rekord nem található, vagy a szülő DS rekordadatai nem egyeznek a gyermekzónában lévő DNSKEY-adatokkal, a megbízhatósági lánc megszakad, és az ellenőrzés meghiúsul.

Rekurzív kiszolgálók

A rekurzív DNS-kiszolgálók (más néven a DNS-kiszolgálók feloldása vagy gyorsítótárazása) a DNSSEC megbízhatósági horgonyainak használatával fenntartják a megbízhatósági láncot.

  • A megbízhatósági horgony egy DNSKEY rekord, vagy egy DNSKEY rekord kivonatát tartalmazó DS-rekord. A DNSKEY rekord egy mérvadó kiszolgálón jön létre egy zóna aláírásakor, és ha a zóna nincs aláírva, eltávolítja a zónából.
  • A megbízhatósági horgonyokat manuálisan kell telepíteni a rekurzív DNS-kiszolgálókra.
  • Ha egy szülőzóna megbízhatósági horgonya található, a rekurzív kiszolgáló ellenőrizheti a hierarchikus névtérben lévő összes gyermekzónát. Ide tartoznak a továbbított lekérdezések. Az összes DNSSEC által aláírt DNS-zóna DNSSEC-érvényesítésének támogatásához telepíthet egy megbízhatósági horgonyt a gyökérzónához (.).

Kulcsátállítás

A DNSSEC által aláírt zónák zónaaláíró kulcsát (ZSK) az Azure rendszeresen automatikusan átküldi (lecseréli). Nem szükséges lecserélni a kulcsaláíró kulcsot (KSK), de ez a lehetőség a Microsoft ügyfélszolgálatához fordulva érhető el. A KSK cseréjéhez frissítenie kell a DS-rekordot is a szülőzónában.

Zónaaláíró algoritmus

A zónák DNSSEC-aláírással vannak aláírva elliptikus görbe digitális aláírási algoritmussal (ECDSAP256SHA256).

Az alábbi táblázat a DNSSEC-hez kapcsolódó rekordok rövid leírását tartalmazza. További információ : RFC 4034: Erőforrásrekordok a DNS biztonsági bővítményekhez és az RFC 7344: A DNSSEC-delegálás megbízhatósági karbantartásának automatizálása.

Rögzítés Leírás
Erőforrásrekord aláírása (RRSIG) Egy aláírás tárolására használt DNSSEC-erőforrásrekordtípus, amely egy adott névhez és típushoz tartozó DNS-rekordok készletét fedi le.
DNSKEY Nyilvános kulcs tárolására használt DNSSEC-erőforrásrekordtípus.
Delegálási aláíró (DS) DnsSEC-erőforrásrekordtípus, amely a delegálás védelmére szolgál.
Következő biztonságos (NSEC) DNSSEC-erőforrásrekordtípus, amely a DNS-név nem létezőségét bizonyítja.
Következő biztonságos 3 (NSEC3) Az NSEC3 erőforrásrekord, amely kivonatolt, hitelesített létezésmegtagadást biztosít a DNS-erőforrásrekord-csoportokhoz.
Következő biztonságos 3 paraméter (NSEC3PARAM) Az NSEC3 rekordok paramétereit adja meg.
Gyermekdelegálás aláírója (CDS) Ez a rekord nem kötelező. Ha van ilyen, a CDS-rekordot egy gyermekzóna használhatja a DS-rekord kívánt tartalmának szülőzónában való megadásához.
Gyermek DNSKEY (CDNSKEY) Ez a rekord nem kötelező. Ha a CDNSKEY rekord egy gyermekzónában található, dS-rekordot hozhat létre EGY DNSKEY-rekordból.

A DNSSEC-hez kapcsolódó rekordok nem jelennek meg az Azure Portalon. A DNSSEC-hez kapcsolódó rekordok megtekintéséhez használjon parancssori eszközöket, például Resolve-DnsName vagy dig.exe. Ezek az eszközök a Cloud Shell használatával érhetők el, vagy helyileg, ha telepítve vannak az eszközön. Mindenképpen állítsa be a DO jelzőt a lekérdezésben a -dnssecok Resolve-DnsName vagy a +dnssec dig.exe beállításával.

Fontos

Ne használja a nslookup.exe parancssori eszközt a DNSSEC-hez kapcsolódó rekordok lekérdezéséhez. A nslookup.exe eszköz olyan belső DNS-ügyfelet használ, amely nem DNSSEC-tud.

Lásd az alábbi példákat:

PS C:\> resolve-dnsname server1.contoso.com -dnssecok

Name                                      Type   TTL   Section    IPAddress
----                                      ----   ---   -------    ---------
server1.contoso.com                        A     3600  Answer     203.0.113.1

Name        : server1.contoso.com
QueryType   : RRSIG
TTL         : 3600
Section     : Answer
TypeCovered : A
Algorithm   : 13
LabelCount  : 3
OriginalTtl : 3600
Expiration  : 9/20/2024 11:25:54 PM
Signed      : 9/18/2024 9:25:54 PM
Signer      : contoso.com
Signature   : {193, 20, 122, 196…}

C:\>dig server1.contoso.com +dnssec

; <<>> DiG 9.9.2-P1 <<>> server1.contoso.com +dnssec
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61065
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 512
;; QUESTION SECTION:
;server1.contoso.com.       IN      A

;; ANSWER SECTION:
server1.contoso.com. 3600   IN      A       203.0.113.1
server1.contoso.com. 3600   IN      RRSIG   A 13 3 3600 20240920232359 20240918212359 11530 contoso.com. GmxeQhNk1nJZiep7nuCS2qmOQ+Ffs78Z2eoOgIYP3j417yqwS1DasfA5 e1UZ4HuujDk2G6GIbs0ji3RiM9ZpGQ==

;; Query time: 153 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Thu Sep 19 15:23:45 2024
;; MSG SIZE  rcvd: 179

PS C:\> resolve-dnsname contoso.com -Type dnskey -dnssecok

Name                                 Type   TTL   Section    Flags  Protocol Algorithm      Key
----                                 ----   ---   -------    -----  -------- ---------      ---
contoso.com                          DNSKEY 3600  Answer     256    DNSSEC   13             {115, 117, 214,
                                                                                                165…}
contoso.com                          DNSKEY 3600  Answer     256    DNSSEC   13             {149, 166, 55, 78…}
contoso.com                          DNSKEY 3600  Answer     257    DNSSEC   13             {45, 176, 217, 2…}

Name        : contoso.com
QueryType   : RRSIG
TTL         : 3600
Section     : Answer
TypeCovered : DNSKEY
Algorithm   : 13
LabelCount  : 2
OriginalTtl : 3600
Expiration  : 11/17/2024 9:00:15 PM
Signed      : 9/18/2024 9:00:15 PM
Signer      : contoso.com
Signature   : {241, 147, 134, 121…}

C:\>dig contoso.com dnskey

; <<>> DiG 9.9.2-P1 <<>> contoso.com dnskey
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46254
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;contoso.com.               IN      DNSKEY

;; ANSWER SECTION:
contoso.com.        3600    IN      DNSKEY  256 3 13 laY3Toc/VTyjupgp/+WgD05N+euB6Qe1iaM/253k7bkaA0Dx+gSDhbH2 5wXTt+uLQgPljL9OusKTneLdhU+1iA==
contoso.com.        3600    IN      DNSKEY  257 3 13 LbDZAtjG8E9Ftih+LC8CqQrSZIJFFJMtP6hmN3qBRqLbtAj4JWtr2cVE ufXM5Pd/yW+Ca36augQDucd5n4SgTg==
contoso.com.        3600    IN      DNSKEY  256 3 13 c3XWpTqZ0q9IO+YqMEtOBHZSzGGeyFKq0+3xzs6tifvD1rey1Obhrkz4 DJlEIxy2m84VsG1Ij9VYdtGxxeVHIQ==

;; Query time: 182 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Thu Sep 19 16:35:10 2024
;; MSG SIZE  rcvd: 284

DNSSEC-terminológia

Ez a lista segít megérteni a DNSSEC megvitatásakor használt néhány gyakori kifejezést. Lásd még: DNSSEC-hez kapcsolódó erőforrásrekordok

Időszak Leírás
Hitelesített adatok (AD) bit Egy adatbit, amely azt jelzi a válaszban, hogy a válasz válasz- és szolgáltatói szakaszaiban szereplő összes adatot a DNS-kiszolgáló hitelesíti a kiszolgáló házirendjeinek megfelelően.
Hitelesítési lánc Aláírt és ellenőrzött DNS-rekordok lánca, amely egy előre konfigurált megbízhatósági horgonytól a DNS-fa valamelyik gyermekzónájára terjed ki.
DNS-bővítmény (EDNS0) Olyan DNS-rekord, amely kiterjesztett DNS-fejlécadatokat tartalmaz, például a DO bitet és az UDP-csomagok maximális méretét.
DNS biztonsági bővítmények (DNSSEC) A DNS-szolgáltatás kiterjesztései, amelyek mechanizmusokat biztosítanak az aláíráshoz és a DNS-adatok biztonságos feloldásához.
DNSSEC OK (DO) bit Egy DNS-kérés EDNS0 részének egy része, amely azt jelzi, hogy az ügyfél DNSSEC-sel rendelkezik.
DNSSEC érvényesítése A DNSSEC-ellenőrzés a DNS-adatok eredetének és integritásának nyilvános titkosítási kulcsokkal történő ellenőrzésének folyamata.
A biztonság szigete Aláírt zóna, amely nem rendelkezik hitelesítési lánccal a delegált szülőzónából.
Kulcsaláíró kulcs (KSK) Egy titkos kulcsnak megfelelő hitelesítési kulcs, amely egy vagy több más aláírókulcs aláírására szolgál egy adott zónához. A KSK-nak megfelelő titkos kulcs általában aláír egy zónaaláíró kulcsot (ZSK), amely viszont rendelkezik egy megfelelő titkos kulccsal, amely más zónaadatokat is aláír. A helyi házirend megkövetelheti a ZSK gyakori módosítását, míg a KSK-nak hosszabb érvényességi ideje lehet, hogy stabilabb és biztonságosabb belépési pontot biztosíthasson a zónába. A hitelesítési kulcs KSK-ként való kijelölése pusztán működési probléma: a DNSSEC-ellenőrzés nem tesz különbséget a KSK-k és más DNSSEC-hitelesítési kulcsok között. Egyetlen kulcs használható KSK-ként és ZSK-ként is.
Nem biztonságos csonkfeloldó Egy biztonságtudatos csonk-feloldó, amely megbízik egy vagy több biztonságtudatos DNS-kiszolgálóban, hogy DNSSEC-ellenőrzést hajtson végre a nevében.
biztonságos belépési pont (SEP) kulcs A DNSKEY RRSet nyilvános kulcsainak egy részhalmaza. A SEP-kulcsok DS RR létrehozására szolgálnak, vagy olyan feloldók számára lesznek elosztva, amelyek a kulcsot megbízható horgonyként használják.
Biztonságtudatos DNS-kiszolgáló Dns-kiszolgáló, amely a 4033 -as [5], a 4034 [6] és a 4035 [7] RFCs-ben meghatározott DNS-biztonsági bővítményeket implementálja. A biztonságtudatos DNS-kiszolgáló olyan entitás, amely DNS-lekérdezéseket fogad, DNS-válaszokat küld, támogatja az EDNS0 [3] üzenetméret-bővítményt és a DO-bitet, és támogatja a DNSSEC-rekordtípusokat és az üzenetfejlécbiteket.
Aláírt zóna Olyan zóna, amelynek rekordjait az RFC 4035 [7] 2. szakasza határozza meg. Az aláírt zónák DNSKEY, NSEC, NSEC3, NSEC3PARAM, RRSIG és DS erőforrásrekordokat tartalmazhatnak. Ezek az erőforrásrekordok lehetővé teszik a DNS-adatok feloldók általi érvényesítését.
Megbízhatósági horgony Egy adott zónához társított előre konfigurált nyilvános kulcs. A megbízhatósági horgony lehetővé teszi, hogy a DNS-feloldó érvényesítse az adott zónához tartozó aláírt DNSSEC-erőforrásrekordokat, és hitelesítési láncokat építsen a gyermekzónákba.
Aláíratlan zóna Bármely DNS-zóna, amely nincs aláírva az RFC 4035 [7] 2. szakaszában meghatározottak szerint.
Zónaaláírás A zónaaláírás a DNSSEC-hez kapcsolódó erőforrásrekordok zónához való létrehozásának és hozzáadásának folyamata, amely kompatibilis a DNSSEC-ellenőrzéssel.
Zóna hozzárendelésének megszüntetése Az aláírás nélküli zóna a DNSSEC-hez kapcsolódó erőforrásrekordok zónából való eltávolításának folyamata, amely egy aláíratlan állapotba állítja vissza azokat.
Zónaaláíró kulcs (ZSK) Egy zóna aláírásához használt titkos kulcsnak megfelelő hitelesítési kulcs. A zónaaláíró kulcs általában ugyanahhoz a DNSKEY RRSethez tartozik, mint a kulcsaláíró kulcs, amelynek a megfelelő titkos kulcsa aláírja ezt a DNSKEY RRSetet, de a zónaaláíró kulcsot kissé más célra használják, és más módokon eltérhetnek a kulcsaláíró kulcstól, például az érvényességi időtartamban. A hitelesítési kulcs zónaaláíró kulcsként való tervezése pusztán működési probléma; A DNSSEC érvényesítése nem tesz különbséget a zónaaláíró kulcsok és más DNSSEC-hitelesítési kulcsok között. Egyetlen kulcs használható kulcs aláírókulcsként és zónaaláíró kulcsként is.

Következő lépések