DNSSEC הינו מערך החותם דיגיטלית מידע על כתובות האינטרנט (IP) של שמות המתחם. יישומו מקשה מאוד על האקרים לבצע "חטיפת אתרים" – מתקפת סייבר שמזייפת את כתובת האינטרנט של אתר מסוים, ומפנה את הגולשים לאתר מתחזה. סוג זה של מתקפות מאפשר, למשל, להאקרים להציב ברשת אתרים הנחזים לאתרים האמיתיים של בנקים או שירותים פיננסיים אחרים, לצורך גניבת פרטים אישיים וסיסמאות של לקוחות.
בשימוש ב-DNSSEC נחתם דיגיטלית, באמצעות צופן, המידע המקשר בין שם המתחם של האתר (הכתובת המוכרת של האתר, כמו למשל isoc.org.il) לבין הכתובת המספרית של האתר באינטרנט (כתובת ה-IP). חתימה זו מקשה מאוד על האפשרות להסיט תעבורת אינטרנט על ידי הזנת מידע מזויף למערך העולמי של ה-DNS.
מחזיק שם מתחם המעוניין להגן על שם המתחם שלו באמצעות DNSSEC צריך לפרסם ZONE חתום של שם המתחם שלו ולספק לרשם מידע על רשומת / רשומות ה-DS.
במפרט הטכני של מערכת המרשם ניתן למצוא את המידע המלא על הגשת בקשות EPP להגדרת, הסרת ושינוי רשומות DS עבור שם מתחם הנמצא בניהולכם.
חשוב לדעת:
מעבר לבדיקת הנתונים הבסיסית לתקינות הבקשה, מתבצעת ולידציה של החתימה.
עם עדכון מידע DS, שורת בדיקות תבוצע נגד שרתי השמות של שם המתחם, זאת על מנת להבטיח ששם המתחם לא ייעלם ממרחב השמות כתוצאה מתצורה שגויה ולכן בקשה שלא תאומת – תידחה.
הבדיקה מתבצעת מול שרתי ה-DNS של שם המתחם. במידה ובבקשה יהיה מידע חדש על שרתי ה- DNS הבדיקה תבוצע מולם, אחרת המידע ילקח מפרטי שם המתחם הקיימים.
כאשר אין מידע DNS על שם המתחם, לא תוכל להתבצע ולידציה, ועל כן בקשה המכילה מידע עם רשומות DS תידחה. כמו כן, כאשר מוגשת בקשת עדכון על שינוי DS וקיימת בקשת עדכון פתוחה הכוללת שינויים ב- DNS/DS, הבקשה תידחה. זאת משום שבקשת העדכון מתייחסת למידע הקיים בפרטי שם המתחם.
