DNSSEC HOWTO
I. Zabezpečení dat DNS
3. Delegování podepisující autority; přechod na globální zabezpečení
3.1 Úvod
Zabývali jsme se tím, jak nasadit DNSSEC v jednotlivé zóně. Nyní chceme sestavit řetěz důvěry, tedy jakmile klient bezpečně získá veřejný klíč, který je vysoko v hierarchii DNS, může sledovat řetěz, aby ověřil data ve vašich zónách nebo vašich vnořených zónách.
Při procesu ověření začne resolver od nakonfigurovaného trust anchor. Použije ten, který ověřuje sady klíčů v apexu zóny. Jakmile je jednou key-set ověřen, klíče v tomto key-setu mohou být použity k ověření jakýchkoliv jiných dat v zóně, jako A, AAAA a zdrojové záznamy PTR. Aby mohl důvěřovat vnořené zóně, bude validátor sledovat ukazatel uložený ve zdrojovém záznamu DS, který odkazuje na klíč v key-setu vnořené zóny, který bude použit k ověření klíčů v této zóně. Toto DS RR je podepsáno klíčem podepisujícím zóny nadřazené zóny a odkazuje na klíč podepisující klíče vnořené zóny (obrázek 4).