НТВ плюс 

Dnssec unsigned что значит. DNSSec: Что такое и зачем. Зачем это нужно

Привет. Давайте установим ISS. А для начала узнаем что такое IIS?

IIS (Internet Information Services, до версии 5.1 - Internet Information Server) - проприетарный набор серверов для нескольких служб Интернета от компании Майкрософт. IIS распространяется с операционными системами семейства Windows NT.

Основным компонентом IIS является веб-сервер, который позволяет размещать в Интернете сайты. IIS поддерживает протоколы HTTP, HTTPS, FTP, POP3, SMTP, NNTP.

Отлично. Теперь мы знаем что мы будем ставить . Приступим.

Установка

Первым делом идем в главное меню "Пуск" (Start) далее

Панель управления -> Программы -> Включение или отключение компонентов Windows.

Находим в списке "Службы IIS" и выбираем нужные компоненты

  • Безопасность . Все компоненты кроме «Проверка подлинности с сопоставлением сертификата …».
  • Компоненты разработки приложений. Для PHP нужна компонента CGI.
  • Общие функции HTTP . Отмечаем все пункты.
  • Проверка работоспособности и диагностика. Выбираем «Ведение журнала HTTP» и «Монитор запросов».
  • Функции повышения быстродействия. Отмечаем все пункты.
  • Средства управления веб-сайтом. Отмечаем только «Консоль управления IIS ».

Лично я немного отступил от этого описания и добавил FTP, так как мне для моих нужд потребуется тестировать работу с FTP.

После того как были выбраны нужные пункты, нажимаем "Ок" и остается подождать когда установятся требующиеся нам компоненты. после чего можно перезагрузить машину. это ей не помешает для старта всех требующихся сервисов.

все. Можно сказать что наш ISS Сервер установлен. Перейдем к его начальному конфигурированию .

Конфигурирование

Идем в управление компьютером (правой кнопкой мыши по значку "Компьютер" -> Управление), далее "Службы и приложения" -> "Диспетчер служб IIS" или счастливые обладатели Windows 7 могут пойти по другому "Пуск" и в поле "Найти программы и файлы" ввести "IIS" и в списке отобразится заветная "Диспетчер служб IIS"

Идем в сайты. Сайт по умолчанию я удалил сразу, решив что он мне не нужен и для наглядности я создам новый .

Правой кнопкой мыши по "сайтам" -> "Добавить web сайт"

и создаем наш первый сайт

В папке указанной как "физический путь", находятся файлы нашего сайта, которые были положены IIS в качестве демонстрационного примера 2 файла это iisstart.htm и welcome.png

Установка веб-сервера IIS

Открываем Панель управления -> Программы -> Включение или отключение компонентов Windows. Находим в списке раздел Службы IIS. Раскрываем его и выбираем нужные компоненты:

Базовый набор:

  • Безопасность. Выбираем все компоненты кроме «Проверка подлинности с сопоставлением сертификата …».
  • Компоненты разработки приложений. Мне нужна только компонента CGI, для последующей установки PHP.
  • Общие функции HTTP. Отмечаем все пункты.
  • Проверка работоспособности и диагностика. Выбираем «Ведение журнала HTTP» и «Монитор запросов».
  • Функции повышения быстродействия. Отмечаем все пункты.
  • Средства управления веб-сайтом. Отмечаем только «Консоль управления IIS».

Когда все пункты выбраны, нажимаем Ок. После завершения установки обязательно перезагружаемся!

Теперь переходим к созданию веб-сайта. Открываем Панель управления -> Система и безопасность -> Администрирование -> Управление компьютером (можно быстрее: меню Пуск -> правый клик на Компьютер -> в меню выбрать пункт Управление). В открывшемся окне раскрываем группу «Службы и приложения» и открываем «Диспетчер служб IIS». В окне Подключения выбираем папку Сайты, затем в правом окне Действия нажимаем на ссылку «Добавить веб-сайт».

Нажимаем OK. На этом базовая настройка завершена. Нужно проверить работоспособность только что созданного сайта. Открываем браузер и в адресной строке вводим: http://localhost. Если все работает правильно, вы увидите похожую страницу:

Последний штрих. Чтобы сайт был доступен из вне, необходимо открыть 80-й порт для входящих соединений. Как это сделать на примере штатного брандмауэра Windows 7:
Откройте Панель управления -> Система и безопасность -> Брандмауэр Windows -> Дополнительные параметры. В списке необходимо найти и включить правило Службы Интернета (входящий трафик HTTP) :

В этом режиме базовой установки веб-сервер способен отображать только статические страницы (обычный HTML + JavaScript). Чтобы расширить его возможности, можно установить поддержку ASP, ASP.NET или PHP. Сам я занимаюсь программированием пока только на PHP, поэтому далее расскажу только об установке PHP на IIS в режиме FastCGI.

Установка PHP (FastCGI)

Конечно, оптимальный веб-сервер для PHP — это Apache, но все же бывают случаи когда требуется установить PHP на IIS. Тем более, в последнее время разработчиками была проделана большая работа, чтобы производительность PHP на IIS улучшилась.

Перед началом установки необходимо скачать релиз PHP с сайта http://windows.php.net/download/ . Там предлагается несколько вариантов. Нам необходим релиз VC9 x86 Non Thread Safe . Для работы в режиме FastCGI это наиболее быстрый и стабильный вариант. Я рекомендую скачивать релиз с установщиком (installer), а не zip-архив (это для любителей ручной установки).

Теперь запускаем установщик. После нескольких не особо информативных окон нам предложат выбрать веб-сервер и режим работы PHP:

IISFastCGI — да, сейчас это единственный стабильный вариант установки PHP на IIS.

После завершения работы установщика, переходим к настройкам IIS. В принципе здесь надо сделать только одно действие — поднять приоритет php-файлов, чтобы они обрабатывались в первую очередь. В диспетчере служб IIS нажимаем по названию нашего сайта и в окне справа выбираем раздел «Документ по умолчанию». В появившемся списке необходимо переместить index.php в начало:

Пользователи Windows 7 64-бит, внимание! Вам необходимо произвести одно дополнительное действие. Откройте раздел «Пулы приложений». Выделите DefaultAppPool и откройте «Дополнительные параметры» (через правый клик или в крайней правой колонке). В разделе Общие необходимо найти опцию «Разрешить выполнение 32-битных приложений» (Enable 32-bit Applications) и установить в положение True. Если уже созданы дополнительные пулы для уже существующих сайтов, то для каждого из них нужно проделать ту же операцию.

Теперь необходимо провести тестирование PHP. В корневую папку веб-сайта (c:\inetpub\wwwroot) необходимо поместить файл index.php со следующим содержанием:

Открываем сайт в браузере (http://localhost). Если все работает правильно, вы увидите страницу с информацией об установке PHP:

Установка MySQL

Вынесена в отдельную статью.

  • При запуске сайта возникает ошибка: «Процесс не может получить доступ к файлу, так как он используется другим процессом. (Исключение из HRESULT: 0×80070020) ».
    Эта ошибка говорит о том, что порт, к которму осуществлена привязка сайта (по умолчанию 80-й), уже занят другим приложением. Очень часто такая ошибка возникает, если установлен другой веб-сервер (например Apache).
    Чтобы выяснить какой процесс занимает 80-й порт, в командной строке введите: netstat -ano -p tcp
    В колонке «Локальный адрес» ищем запись вида 0.0.0.0:80, далее смотрим какой «PID» соответствует этой записи. В «Диспетчере задач» открываем вкладку Процессы (опцию «Отображать процессы всех пользователей» должна быть отмечена). Далее переходим в меню Вид -> «Выбрать столбцы» отметь «ИД проесса (PID)». Теперь с помощью PID можно выяснить какой процесс занимает порт.
    Еще одним из решений этой проблемы является привязка сайта к альтернативному порту (например 8080).
  • При запуске php-скрипта появляется ошибка: Warning: fopen(путь_к_файлу): failed to open stream: Permission denied in путь_к_файлу .
    Проблема в том, что группа пользователей IIS_IUSRS имеет права только на чтение. Открыть свойства папки, в которой распологаются файлы веб-сайта (по умолчанию wwwroot), закладка Безопасность. В списке находим группу IIS_IUSRS и даем ей права полного доступа.
  • Как установить кодировку сайта .
    Откройте «Диспетчер служб IIS», выберите нужный веб-сайт.В настройках сайта откройте раздел «Заголовки ответов HTTP». Нажмите ссылку Добавить. В открывшемся окне в поле Имя введите: Content-type, в поле Значение введите: text-html; charset=windows-1251 (см. скриншот). Вместо windows-1251 можно прописать любую другую кодировку.

Технология DNSSEC разработана как расширение системы DNS (Domain Name System) для защиты от подмены данных. Такая защита позволяет не допустить фишинга, отравления кэша и многих других интернет-угроз. Принцип работы DNSSEC основан на использовании цифровых подписей и построении цепочки доверия.

Принципы работы DNSSEC

DNSSEC создаёт для каждого типа ресурсных записей специальную ресурсную запись с цифровой подписью. Главная особенность цифровой подписи состоит в наличии открытых, публично доступных методов проверки достоверности подписи. При этом генерирование подписи для произвольных данных требует наличия в распоряжении подписывающего секретного ключа. Соответственно проверка подписи доступна каждому участнику системы, но подписание новых или изменённых данных доступно только тому, у кого есть секретный ключ.

Открытые ключи публикуются в зоне домена в виде ресурсной записи типа DNSKEY совместно с остальными ресурсными записями. Для проверки открытой части ключа используется цепочка доверия. Проверка достоверности ключа происходит с помощью его дайджестов (fingerprint, хэш), предварительно отправленных в родительскую зону в виде DS-записей. Дайджесты открытых ключей родительских зон также отправляются в соответствующие для них родительские зоны. Такая цепочка доверия строится до корневой зоны, у которой открытый ключ и его дайджесты опубликованы в официальных документах ICANN - организации ответственной за корневую зону.

DNSSEC использует 2 типа ключей:

  • ZSK (Zone Signing Key) - ключ для подписи ресурсных записей зоны;
  • KSK (Key Signing Key) - ключ для подписи ключей.

Для каждого типа ключа можно указать алгоритм, длину ключа и период обновления. С указанными параметрами будут генерироваться ключи для подписывания доменов.

Текущая реализация поддержки DNSSEC позволяет указать только одинаковый алгоритм для ключей.

Общепринятой практикой является выбор для KSK больших значений для длины ключа и периода обновления по сравнению с ZSK:

  • ZSK-ключ используется каждый раз, когда происходит редактирование доменной зоны или её обновление. Использование короткого ключа облегчает процесс подписи, снизив нагрузку на сервер, а небольшой период обновления ZSK позволяет поддерживать высокий уровень безопасности;
  • С помощью KSK-ключей производится только подписание ключей, в связи с чем он используется реже ZSK. Поэтому длинный ключ не так сильно влияет на производительность. Для длинного ключа можно указывать и длинный период обновления ключа без ущерба для безопасности. Длинный период обновления KSK позволяет реже передавать DS-записи в родительскую зону.

Для избежания компрометации ключей DNSSEC используется процесс обновления ключей. В соответствии с принятыми практиками (RFC7583 и RFC6781) ключи обновляются постепенно, чтобы у вторичных серверов и серверов кэширования DNS было достаточно времени для синхронизации с первичным сервером DNS, не допуская сбоев работы домена.

Процесс обновления KSK соответствует алгоритму Double-DS :

  1. Публикация DS-записей нового KSK-ключа в родительской зоне. В ISPmanager следующий KSK-ключ создаётся сразу при подписании домена или сразу после удаления старого KSK-ключа. В таком случае у пользователя появляется возможность заранее опубликовать DS-записи нового ключа. Для корректной работы обновления KSK-ключа в ISPmanager DS-записи нового ключа необходимо опубликовать в родительской зоне за месяц до конца обновления KSK-ключа;
  2. Замена KSK-ключа. Активный действующий KSK-ключ заменяется новым KSK-ключом. В ISPmanager замена происходит за 2 недели до конца обновления KSK-ключа;
  3. Удаление DS-записей старого ключа в родительской зоне. В этот момент ISPmanager генерирует следующий новый ключ, позволяя пользователям одновременно выполнить необходимые действия в родительской зоне: удалить DS-записи старого ключа и добавить DS-записи следующего нового ключа.

Double-DS KSK Rollover

Процесс обновления ZSK происходит по алгоритму Pre-Publication :

  1. Создание и публикация в доменной зоне нового ключа ZSK-ключа. В ISPmanager выполняется за 2 недели до смены ключа. Новый ключ является пассивным и не участвует в процессе подписывания доменной зоны;
  2. Замена ZSK-ключа. Опубликованный заранее новый ZSK-ключ становится активным. Действующий до этого ZSK-ключ становится пассивным и больше не участвует в процессе подписи;
  3. Удаление старого пассивного ZSK-ключа. Действие выполняется через 2 недели после замены ZSK-ключа.

pre-publish ZSK Rollover

Включение поддержки DNSSEC

Поддержка DNSSEC доступна для DNS-серверов:

  • Bind , начиная с версии 9.8.4;
  • PowerDNS , начиная с версии 3.2.

Обратите внимание: в стандартном репозитории Debian 7 - PowerDNS версии 3.1. Обратите внимание: PowerDNS до 4-й версии не полностью поддерживает CAA-записи. В связи с этим на DNS-сервере с PowerDNS до 4-й версии подписывание домена с помощью DNSSEC может привести к недоступности CAA-записей.

Включение поддержки DNSSEC и указание настроек для генерации ключей для домена осуществляется в разделе "Домены" -> "Доменные имена" -> выделить домен -> кнопка "Настройки" -> включить опцию "Поддержка DNSSEC" . Возможность включения поддержки DNSSEC доступна только пользователю с уровнем доступа "Администратор".

Параметры ключей DNSSEC

  • Поддержка DNSSEC - опция, включающая функциональность DNSSEC для доменной зоны;
  • Ключ подписания ключа (KSK) :
    • Алгоритм ­- алгоритм генерации KSK-ключа:
      • Устаревшие алгоритмы:
        • 5 - RSA/SHA-1 ;
        • 7 - RSASHA1-NSEC3-SHA1 ;
      • Современные алгоритмы:
        • 8 - RSA/SHA-256 ;
        • 10 - RSA/SHA-512 ;
        • 12 - GOST R 34.10-2001 ;
      • Новейшие алгоритмы:
    • Длина ключа - длина KSK-ключа. Указывается в битах;
    • Период обновления
  • Ключ подписания зоны (ZSK) :
    • Алгоритм ­- алгоритм генерации ZSK-ключа. Должен совпадать с алгоритмом генерации KSK-ключа:
      • Устаревшие алгоритмы:
        • 5 - RSA/SHA-1 ;
        • 7 - RSASHA1-NSEC3-SHA1 ;
      • Современные алгоритмы:
        • 8 - RSA/SHA-256 ;
        • 10 - RSA/SHA-512 ;
        • 12 - GOST R 34.10-2001 ;
      • Новейшие алгоритмы:
        • 13 - ECDSA Curve P-256 with SHA-256 ;
        • 14 - ECDSA Curve P-384 with SHA-384 .
    • Длина ключа - длина ZSK-ключа. Указывается в битах;
    • Период обновления - период, по истечении которого будет сгенерирован новый ключ. Указывается в месяцах.

Почтовые уведомления

Для включения и поддержания работы защиты DNSSEC требуется вручную выполнять публикацию и обновление DS-записей в родительской зоне. Почтовые уведомления DNSSEC позволяют настроить получение уведомлений о новых DS-записях, требующих публикации.

Для получения уведомлений необходимо включить опцию "Уведомления от расширения DNSSEC dns-сервера" в разделе "Настройки" -> "Почтовые уведомления" .

Почтовые уведомления DNSSEC

Включение защиты DNSSEC для домена

Алгоритм включения защиты DNSSEC для домена состоит из следующих этапов:

  • проверка максимального значения TTL в доменной зоне;
  • подписание доменной зоны;
  • создание цепочки доверия.

Проверка максимального значения TTL в доменной зоне

Для правильного обновления ключей необходимо, чтобы максимальное значение TTL в доменной зоне имело значение менее 2 недель. По умолчанию TTL-зоны равно 3 часам.

Максимальное значение TTL в доменной зоне указывается в разделе "Домены" -> "Доменные имена" -> выделить домен -> кнопка "Записи" -> столбец "TTL, сек" .

Подписание доменной зоны

Подписание доменной зоны осуществляется в разделе "Домены" -> "Доменные имена" -> выделить домен -> кнопка "Изменить" -> включить опцию "Подписать домен" .

Подписание доменной зоны

После применения изменений запускается фоновый процесс подписания доменной зоны. В ходе процесса генерируются KSK и ZSK в соответствии с заданными параметрами. На время подписания доменной зоны в столбце "Состояние" отображается иконка уведомления о подписании, а также для домена блокируются операции "Изменить" и "Удалить" .

Через несколько секунд необходимо обновить страницу "Доменные имена" .

При успешном подписании доменной зоны:

  • в столбце "Состояние" отображается иконка уведомления;
  • отображается баннер "Есть неопубликованные DS-записи" ;
  • кнопка "DNSSEC" становится активной для домена.

Подписание доменной зоны доступно пользователям с уровнем доступа "Пользователь" и выше.

Создание цепочки доверия

Для создания цепочки доверия необходимо передать DS-записи (иногда, в зависимости от регистратора, также DNSKEY-записи KSK) в родительскую зону. Информация об основных параметрах ключей и их записях DNSKEY и DS отображается на странице "Параметры DNSSEC" : раздел "Домены" -> "Доменные имена" -> выделить домен -> кнопка "DNSSEC" .

Параметры DNSSEC

  • Статус DNSSEC - состояние DNSSEC;
  • Алгоритм ключей - алгоритм генерации KSK и ZSK ключей;
  • Параметры KSK :
    • Дата обновления ключа - дата генерации текущего KSK-ключа;
    • Период обновления (месяцы) - период, по истечении которого будет сгенерирован новый ключ. Указывается в месяцах;
    • Длина ключа - длина KSK-ключа, в битах.
  • DS-записи - DS-записи в доменной зоне. Проверка достоверности ключа происходит с помощью его дайджестов (fingerprint, хэш), предварительно отправленных в родительскую зону в виде DS-записей.
Для каждой записи из списка DS-записей отображаются следующие данные:
  • Начало записи - начало DS-записи;
  • Тег - идентификатор KSK-ключа;
  • Алгоритм
  • Тип дайджеста - идентификатор типа дайджеста;
  • Дайджест - содержимое дайджеста.
  • Показать DNSKEY - по нажатию кнопки отображается таблица DNSKEY-записей. Для каждой записи из списка DNSKEY-записей отображаются следующие данные:
  • Начало записи - начало DNSKEY-записи;
  • Флаги - идентификатор типа ключа;
  • Протокол - номер протокола DNSSEC;
  • Алгоритм - идентификатор алгоритма шифрования;
  • Публичный ключ - открытая часть ключа;
  • Тег - идентификатор KSK-ключа.

Передача DS-записей осуществляется одним из следующих образов:

  1. Добавление записей через веб-интерфейс панели управления доменом у регистратора доменных имён. Необходимо скопировать DS-записи из ISPmanager. Если у регистратора записи добавляются в виде строк, то необходимо объединить значения всех столбцов из таблицы DS-записей в ISPmanager, вставляя пробелы между ними.
  2. Если доменная зона находится вместе с родительской зоной (зоной на один уровень выше) на одном и том же сервере под управлением ISPmanager или DNSmanager, то на странице "Параметры DNSSEC" домена доступна кнопка "Передать DS-записи в родительскую зону" . По нажатию на данную кнопку панель осуществляет передачу DS-записей.
  3. Если подписываемый домен является родительским для домена, находящегося на стороннем сервере, то DS-записи дочернего домена создаются в записях родительского домена, также как и остальные ресурсные записи.

В случае компрометации ключей необходимо переподписать доменную зону новыми ключами. Для этого необходимо отключить защиту DNSSEC для домена:

  • удалить все DS-записи из родительской доменной зоны и подождать несколько часов;
  • удалить подпись доменной зоны: раздел "Домены" -> "Доменные имена" -> выделить домен -> кнопка "Изменить" -> включить опцию "Удалить подпись" .

Отключение защиты домена доступно пользователям с уровнем доступа "Пользователь" и выше

Отключение поддержки DNSSEC

Перед отключением поддержки DNSSEC необходимо удалить DS-записи всех подписанных доменов из их родительских зон. В противном случае доменные имена перестанут работать.

Отключение поддержки DNSSEC для домена осуществляется в разделе "Домены" -> "Доменные имена" -> кнопка "Настройки" -> отключить опцию "Поддержка DNSSEC" . Возможность отключения поддержки DNSSEC доступна только пользователю с уровнем доступа "Администратор".

После подтверждения изменений происходит отписывание всех доменов и удаление всех их ключей.

Ограничения

При использовании DNSSEC размер пакетов увеличивается. Обратите внимание:

  • при превышении 512 байт DNS использует протокол TCP. На некоторых маршрутизаторах работа DNS по протоколу TCP может быть запрещена (закрыт порт 53);
  • при превышении размера MTU пакеты DNS фильтруются. MTU - максимальный размер полезного блока данных одного пакета, который может быть передан без фрагментации. Распространенный размер MTU - 1500 байт.

Эта форма - не обращение в поддержку.
Мы не можем идентифицировать вас и ответить на ваше сообщение.

Корпорация по управлению доменными именами и IP–адресами, ICANN, предупреждает о возможных перебоях в работе глобальной сети из–за обновления ключа шифрования запросов к серверам разрешения имён по протоколу DNSSEC, об этом сообщается в пресс–релизе ICANN .

Ключи шифрования протокола DNSSEC обновляются впервые с момента запуска системы 15 июля 2010 года, когда была подписана корневая зона, иногда именуемая «точкой», то есть зона, стоящая над доменами верхнего уровня, такими как.com., .ru., .org., .net. и другими (в интерфейсах браузеров замыкающая точка обычно опускается). Решение о перевыпуске «ключа подписи ключей», Key Signing Key или KSK, для корневой зоны несколько раз откладывалось, изначально планировалось, что корневая зона в целях безопасности будет заново подписываться каждые пять лет - первая замена ключа была запланирована на 2015 год. Опасения корпорации ICANN вызваны тем, что не все серверы DSN с поддержкой DNSSEC переключатся на использование нового ключа шифрования: единожды сконфигурированные серверы всё это время могли работать корректно, но их владельцы могли не учесть возможность обновления KSK.

Простой сервис настройки DNSSEC для владельцев доменов из российского сегмента, то есть в зонах ru, «рф» и su, предоставляют только три регистратора, которые также владеют и собственными серверами DNS: nic.ru , reg.ru и webnames.ru . Пока особой популярностью протокол не пользуется: из 5,6 млн российских доменов, по статистике регулирующего российские зоны «Координационного центра», число доменов с поддержкой DNSSEC на сентябрь 2018 года не превысило 3 000 штук, хотя в их число входят наиболее крупные и популярные ресурсы рунета. В тоже время наиболее популярный среди владельцев российских доменов сервис «Яндекс Коннект» не поддерживает DNSSEC, хотя «Яндекс.DNS» для домашних пользователей поддержку безопасного протокола обеспечивает. В глобальном доменном пространстве доменов, работающих по DNSSEC, на порядки больше: по данным statdns , из 135 млн доменов в одной только зоне com доменных имён с DNSSEC почти миллион.

В комментариях UPgrade все три российских регистратора, поддерживающих DNSSEC, заявили о том, что готовы к смене KSK, в настоящий момент они работают со старым ключом в активном режиме, а с новым ключом, открытая часть которого была опубликована ICANN ещё 11 сентября 2017 года, - в пассивном режиме. По команде ICANN регистраторы готовы поменять статус ключей и не ожидают сбоев. Крупнейшие держатели собственных серверов разрешения доменных имён не из числа регистраторов, «Ростелеком», «Мегафон», «Билайн» и МТС, в комментариях РБК заявили, что также готовы к смене ключа. Однако приведёт ли смена KSK к сбоям у владельцев менее крупных серверов DNS, например, у провайдеров в небольших городах, предугадать невозможно, хотя корпорация ICANN активно работает с техническими администраторами провайдеров, операторами связи и другими компаниями, работающими с интернет–инфраструктурой напрямую.

Служба DNS или Domain Name System была разработана практически одновременно с введением доменов в 1980–х годах. При обращении к доменному имени (например, сайт) через службу DNS интернет–провайдер находит IP–адрес (например, 87.236.16.85), соответствующий доменному имени. Владельцы доменов указывают на собственных DNS–серверах (например, ns1.beget.com) так называемые «ресурсные записи» (например, * A 87.236.16.85). Другие серверы DNS через некоторое время копируют эти записи и создают из них кэш, чтобы каждый раз не обращаться к исходному серверу. До введения DNSSEC серверы DNS безоговорочно доверяли информации друг друга, что делало их уязвимыми перед попытками злоумышленников «отравить кэш», то есть предоставить «доверчивому» серверу DNS запись с подменой IP–адреса на адрес злоумышленника. Таким образом посетители крупных ресурсов, онлайн–банков, социальных сетей, поисковых служб и прочих сайтов могли быть перенаправлены на поддельный ресурс.

Чтобы исключить отравление кэша DNS и другие угрозы были разработаны «расширения безопасности DNS», DNS Security Extensions или DNSSEC. Внедрение расширенного протокола замедлялось из–за его требовательности к вычислительным мощностям серверов и высокой нагрузки на сети. Упрощённый протокол DNSSEC–bis с обратной совместимостью с системой DNS ввёл в действие каскад не столь требовательных к вычислениям электронных сертификатов от корневой зоны до индивидуальных доменов, которые DNS–серверы могли бы на лету проверять на подлинность при каждом запросе. KSK корневой зоны требует периодического обновления: созданный в 2010 году 1024–битный ключ KSK–2010 в 2017 году был усложнён до 2048–битного KSK–2017 в ответ на повышение мировых вычислительных мощностей, которых могло бы хватить для подбора шифра.