Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 8/10/2009
Den centrale rod-zone i DNS vil blive signeret med DNSSEC den 1. december. Topniveaudomænerne vil gradvist blive signeret derefter.Det har RIPE (Réseaux IP Européens) og ICANN (Internet Corporation for Assigned Names and Numbers) offentliggjort på det seneste møde i RIPE, som styrer de europæiske IP-adresser på internettet.
Aftalen betyder, at den øverste zone i DNS-hierarkiet bliver signeret med en nøgle. Derefter kan andre zoner blive signeret med nøgler, der er signeret med den samme nøgle.
Formålet er at sikre, at man kan stole på det svar, man får på en DNS-forespørgsel.
Systemet opbygges med to nøgler: En Key Signing Key (KSK) og en Zone Signing Key (ZSK). KSK'en skal gælde i to til fem år, mens ZSK'en kun skal være gældende i tre måneder. Det gør det muligt at gøre nøglen mindre, så den ikke fylder så meget i datapakkerne, fordi angribere vil have kortere tid til at knække den, hævder tilhængerne.
Krypteringsekspert Eric Rescorla mener ikke, at den argumentation holder. Han mener, at det bedre kan betale sig at bruge længere nøgler og lade dem leve længere.