DNSSEC(Domain Name System Security Extensions)는 인터넷 프로토콜(IP) 네트워크에 사용되어 도메인 네임 시스템(DNS)이 제공하는 특정한 종류의 정보를 취득하기 위한 국제 인터넷 표준화 기구(IETF) 사양을 위한 스위트의 하나이다. DNS 클라이언트에게 DNS 데이터의 메시지 인증, 실체에 대한 인증 거부, 데이터 무결성을 제공하지만 가용성이나 비밀 보장을 제공하지는 않는 DNS에 대한 확장 집합이다.


리소스 레코드

  • RRSIG (리소스 레코드 서명, resource record signature)
  • DS (delegation signer)
  • NSEC (next secure record)
  • NSEC3 (next secure record version 3)
  • NSEC3PARAM (next secure record version 3 parameters)


알고리즘 필드 알고리즘 출처 구현 상태[1]
1 RSA/MD5 구현되지 않음
3 DSA/SHA-1 선택 사항
5 RSA/SHA-1 RFC 3110 요구됨
7 RSASHA1-NSEC3-SHA1 RFC 5155 권장됨
8 RSA/SHA-256 RFC 5702 권장됨
10 RSA/SHA-512 권장됨
12 GOST R 34.10-2001 RFC 5933 선택 사항
13 ECDSA/SHA-256 RFC 6605 권장됨
14 ECDSA/SHA-384 권장됨


DNS가 중요한 인터넷 서비스의 하나이지만, 1990년에 스티브 벨로빈은 그 안에서 심각한 보안 결함을 발견하였다. 이에 대한 연구가 시작되었고, 그의 논문이 1995년 공개되면서 점차 연구가 증진되기 시작했다.[2] 초기 RFC 2065가 1997년 IETF에 의해 출판되었고 이러한 사양을 구현하려는 초기 시도가 IETF RFC 2535로서 1999년의 개정판으로 이어졌다. RFC 2535에 기반한 DNSSEC를 배치할 계획이 세워졌다.


  • RFC 2535 Domain Name System Security Extensions
  • RFC 3833 A Threat Analysis of the Domain Name System
  • RFC 4033 DNS Security Introduction and Requirements (DNSSEC-bis)
  • RFC 4034 Resource Records for the DNS Security Extensions (DNSSEC-bis)
  • RFC 4035 Protocol Modifications for the DNS Security Extensions (DNSSEC-bis)
  • RFC 4398 Storing Certificates in the Domain Name System (DNS)
  • RFC 4470 Minimally Covering NSEC Records and DNSSEC On-line Signing
  • RFC 4509 Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)
  • RFC 5155 DNSSEC Hashed Authenticated Denial of Existence
  • RFC 6781 DNSSEC Operational Practices, Version 2

같이 보기


외부 링크

  • (영어) DNSSEC - DNSSEC information site: DNSSEC.net