Synonymer: Zonesigneringsnøgle Zone Signatur Nøgle
ZSK står for “Zone Signing Key” og er en central del af DNSSEC (Domain Name System Security Extensions). DNSSEC er en udvidelse af DNS, der tilføjer en sikkerhedsfunktion for at beskytte brugere mod falske DNS-data, såsom DNS-cache-forgiftning. En ZSK bruges til at signere DNS-zonefiler digitalt, hvilket sikrer, at de data, der returneres af en DNS-server, er autentiske og ikke er blevet ændret.
En DNS-zone er en del af det samlede DNS-system, der administrerer domænenavne. Når en DNS-zone bliver signeret med en ZSK, skabes der en digital signatur, der kan verificeres af klienter, der forespørger DNS-data. Signaturen bekræfter, at de returnerede data er præcis som de blev signeret af den autoritative DNS-server.
For at forstå, hvordan ZSK fungerer, er det vigtigt at vide, at den ikke fungerer alene. Den arbejder sammen med en anden nøgle kaldet KSK (Key Signing Key). KSK bruges til at signere selve ZSK, hvilket skaber en kæde af tillid. Når en klient får en DNS-respons, bruger den ZSK-signaturen til at verificere integriteten af DNS-dataene og bruger KSK til at verificere ZSK.
Et konkret eksempel: Når du besøger en hjemmeside, sender din computer en forespørgsel til DNS for at få IP-adressen på hjemmesiden. Med DNSSEC og ZSK, når DNS-serveren svarer, inkluderer den en signatur, der er skabt med ZSK. Din computer kan derefter bruge denne signatur til at sikre, at den IP-adresse, den modtager, er korrekt og ikke er blevet ændret af en ondsindet aktør.