Как это работает

  1. Пользователь вводит в строке браузера адрес подпись.рф. В соответствии с сетевыми настройками компьютер пользователя посылает запрос на разрешение доменного имени на DNS-сервер (обычно это сервер провайдера доступа к Интернет, который является валидирующим резолвером).

  2. DNS-сервер провайдера при отсутствии в кэше информации о запрашиваемом домене посылает запрос к корневому DNS-серверу. В запросе дополнительно устанавливается признак того, что резолвер желает получить ответ с использованием DNSSEC (выставленный бит DO).

  3. Корневой DNS-сервер отвечает, что за зону РФ. ответственным является DNS-сервер a.dns.ripn.net. Одновременно он возвращает подписанный с помощью закрытого KSK корневой зоны набор открытых ключей подписи корневой зоны (набор ключей состоит из открытого KSK и открытого ZSK) и подписанный с помощью закрытого ZSK корневой зоны хэш открытого KSK для зоны РФ.

  4. Резолвер сравнивает полученный от корневого DNS-сервера открытый KSK корневой зоны с содержащимся в своей памяти открытым KSK корневой зоны. Затем резолвер проверяет содержащуюся в RRSIG электронную подпись набора ключей корневой зоны. Если подпись верная, резолвер начинает доверять ZSK корневой зоны и проверяет с его помощью подпись DS-записи для нижестоящей зоны – РФ. (DS-запись представляет собой хэш KSK зоны РФ.).

  5. Получив от корневого сервера адрес ответственного за зону РФ. DNS-сервера a.dns.ripn.net, резолвер выполняет к последнему аналогичный запрос – каков IP-адрес сайта подпись.рф – и указывает, что использует DNSSEC.

  6. Ответственный за зону РФ. DNS-сервер отвечает, что информация о зоне ПОДПИСЬ.РФ. содержится на DNS-сервере cainet.ru; возвращает подписанный с помощью закрытого KSK зоны РФ. набор открытых ключей подписи зоны РФ. и подписанный с помощью закрытого ZSK зоны РФ. хэш открытого KSK зоны ПОДПИСЬ.РФ.

  7. Резолвер сравнивает полученную от корневого DNS-сервера DS-запись (хэш) KSK зоны РФ. с рассчитанным самостоятельно хэшем полученного от a.dns.ripn.net открытого KSK зоны РФ. При совпадении хэшей резолвер начинает доверять открытому KSK зоны РФ. и может проверить подпись ключевого набора зоны РФ., а следовательно – доверять открытому ZSK зоны РФ. из ключевого набора и проверить подпись открытого KSK зоны ПОДПИСЬ.РФ. После всех проверок резолвер имеет DS-запись KSK зоны ПОДПИСЬ.РФ и адрес ответственного за зону ПОДПИСЬ.РФ. DNS-сервера cainet.ru.

  8. Резолвер обращается к DNS-серверу cainet.ru с запросом адреса сайта подпись.рф и указывает, что использует DNSSEC.

  9. Сервер cainet.ru знает, что зона ПОДПИСЬ.РФ содержится на нём самом и возвращает резолверу ответ: подписанный с помощью закрытого KSK зоны ПОДПИСЬ.РФ набор открытых ключей подписи зоны ПОДПИСЬ.РФ и подписанный с помощью закрытого ZSK зоны ПОДПИСЬ.РФ адрес сайта подпись.рф.

  10. Аналогично пункту 7 резолвер проверяет открытый KSK зоны ПОДПИСЬ.РФ, открытый ZSK зоны ПОДПИСЬ.РФ и адрес сайта подпись.рф.

  11. При удачной проверке в пункте 10 резолвер возвращает пользователю ответ, содержащий в себе адрес сайта подпись.рф и подтверждение, что ответ верифицирован (выставленный бит AD).

  12. <<<  Назад