A DNSSEC hitelesítés vagy ellenőrzés az a folyamat, amellyel a DNS-feloldó (DNS-lekérdezéseket küldő és DNS-válaszokat fogadó ügyfél) ellenőrzi a DNS-adatok hitelességét és sértetlenségét. Ez a folyamat több lépésből áll:
- A DNS kliensDNS-lekérdezést küld a DNS-kiszolgálónak egy DNS-rekordot (például egy A-rekordot vagy MX-rekordot) kérve.
- A DNS-kiszolgáló visszaküldi a DNS-rekordot egy digitális aláírással együtt. A digitális aláírás egy olyan magánkulcs segítségével jön létre, amelyet csak a DNS-kiszolgáló ismer.
- A DNS kliens megkapja a DNS-rekordot és a digitális aláírást, és a DNS-kiszolgáló nyilvános kulcsát használja az aláírás ellenőrzésére. A nyilvános kulcs egy nyilvános/magán kulcspár része, a magánkulcsot az aláírás létrehozásához, a nyilvános kulcsot pedig az aláírás ellenőrzéséhez használják.
- Ha az aláírás érvényes, az azt jelenti, hogy a DNS-rekordot nem manipulálták vagy hamisították, és a DNS-feloldó megbízhat benne. Ha az aláírás érvénytelen, az azt jelenti, hogy a DNS-rekordot esetleg meghamisították, és nem lehet megbízni benne.
Ahhoz, hogy a DNSSEC-érvényesítés működjön, a DNS-kiszolgálónak és a DNS-feloldónak is úgy kell konfigurálva lennie, hogy támogassa a DNSSEC-et. Ez általában a DNSSEC szoftver telepítését és konfigurálását, valamint nyilvános és privát kulcsok létrehozását és cseréjét jelenti.
Érdemes megjegyezni, hogy a DNSSEC-érvényesítés csak egy lépés a DNS védelmének átfogó folyamatában. Más intézkedések, például a DNS-feloldó és a DNS-kiszolgáló közötti kapcsolat biztosítása (pl. TLS használatával) szintén hozzájárulhat a DNS-rendszer biztonságának és megbízhatóságának javításához.