DNSSEC hat zwei Seiten: die signierende und die authentifizierende. Zusammen gewährleisten sie die hohe Sicherheit von DNSSEC. Beide sind für den Betrieb unerlässlich, werden jedoch als separate Prozesse ausgeführt.
Signatur
Die Domain wird von den Betreibern der Nameserver signiert und somit für die jeweilige Domain authentifiziert. Diese Nameserver werden von dem DNS-Dienstanbieter, bei dem die Domain registriert ist (der auch den Standard-DNS-Dienst bereitstellt), oder vom Webhosting-Anbieter, der den DNS-Dienst oder einen eigenen authentifizierten DNS-Server bereitstellt, verwaltet.
Im Wesentlichen sieht der DNSSEC-Signaturprozess wie folgt aus:
- Der Inhaber der Domain genehmigt DNSSEC auf der Seite der Domain, die vom DNS verwendet wird.
- Ein DNS-Server, der den DNS-Eintrag bereitstellt, signiert diesen mit DNSSEC-Schlüsseln.
Als Teil des Prozesses wird ein sogenannter „Delegation Signer” (DS)-Eintrag für die TLD erstellt, wodurch „vollständiges Vertrauen” gewährleistet wird (dies ist eine Reihe von Abfragen, die durch die digitale Signatur des Domainnamens authentifiziert sind und die Anfragen an allen Abfrage-Knotenpunkten überwachen). Dadurch wird sichergestellt, dass Dritte nicht in die Kommunikation eingreifen und die Anfrage auf eine andere, schädliche Website umleiten können.
- Der Domain-Registrar muss diesen DS-Bereich für die Erstellung der Domain bereitstellen.
- Anschließend stellt der Registrar diesen DS-Bereich den TLD-Betreibern zur Verfügung. (Die TLD muss in diesem Fall DNSSEC-kompatibel sein.)
Authentifizierung
Die Authentifizierung erfolgt über sogenannte DNS-Resolver, die DNSSEC authentifizieren. Die Authentifizierung kann mit einem DNS-Resolver durchgeführt werden, der an jedem Punkt des Netzwerks ausgeführt werden kann. Dazu gehören Browser, Messaging-Dienste oder Mailserver. Ein DNS-Resolver kann auf dem Heimcomputer in das Betriebssystem integriert sein oder von einem Internetdienstanbieter oder einem anderen öffentlichen DNS-Dienstanbieter bereitgestellt werden, wie beispielsweise dem öffentlichen DNS von Google.
Bei der Authentifizierung wird die DNSSEC-Signatur der Domain kryptografisch überprüft.
Als Teil der Authentifizierung überprüft der DNS-Resolver auch, ob eine „vollständige Vertrauensstellung” besteht, vom DNS-Server bis zur Domain, um sicherzustellen, dass die von ihm verwendeten Informationen nicht verändert wurden. Im Idealfall geschieht dies so nah wie möglich am Endnutzer.