Episode 4
Confía en la jerarquía
Mencionamos que DNS es jerárquico.
Cuando un recusor necesita consultar los registros A de dnsimple.com, primero debe preguntar a la raíz dónde encontrar los servidores .com.
Luego, los servidores .com dirigirán al recusor a los servidores autoritativos de dnsimple.com
Finalmente, el servidor autoritativo responderá con la dirección IP de los registros A de dnsimple.com.
Todo esto se basa en una cadena de confianza.
En cada iteración con otro servidor, el recusor confía en que lo redirigen de un nodo a otro de confianza.
En el mundo DNSSEC, esto se logra con un nuevo tipo de registro llamado delegation signer (DS)
El registro DS se genera en la zona hija y se entrega a la zona raiz.
El registro DS contiene la parte pública de la clave de firma de clave (KSK) almacenada en el DNSKEY, hasheada por tu proveedor DNS.
Este registro DS debe estar presente en la zona raiz.
Cuando el recusor DNS consulta la zona hija, la zona padre le da el registro DS.
Esto cumple dos propósitos:
Primero, el recusor ahora sabe que la zona hija está configurada con DNSSEC.
Segundo, el recusor puede comprobar que el registro DS sin cifrar en la zona padre coincide con el DNSKEY de la zona hija.
El recusor vuelve a hashear el DNSKEY del hijo y compara el resultado con el registro DS.
Si no coinciden, el recusor sabe que la zona ha sido manipulada.
Si coinciden, el recusor ahora puede confiar en dnsimple.com
Ya sabemos que podemos confiar en DNSimple. Pero ¿qué pasa con .com y la raíz?
