CertDNS: DNS Security Using Digital Certificate

Abstract

The domain name system, which is a system that converts the domain name of a host to its resource records, is a basic component of the Internet. However, security-related factors were not considered at the time of the initial design of the domain name system. To overcome this problem, DNSSEC was introduced. DNSSEC signs its own records in the subdomain and uploads the key to the parent domain to form a trust chain. However, due to this upload process, the validation failure rate of DNSSEC increases. Therefore, in this paper, the process of uploading these records is pointed out as a problem of DNSSEC. To address this problem, we introduce CertDNS to replace the DNSSEC. CertDNS does not directly generate a key for signature (for DNS records), but receives a certificate from a CA, and then generates a signature using a key issued together. We conducted an experiment to compare with DNSSEC, in terms of time and storage. We found out that CertDNS could sufficiently replace DNSSEC.

호스트의 도메인 이름과 DNS 레코드를 서로 매핑 시켜주는 시스템인 도메인 네임 시스템은, 인터넷의 기본 구성 요소다. 그러나 도메인 네임 시스템의 최초 설계 당시에는 보안과 관련된 요소들이 고려되지 않았고, 이를 극복하기 위해 DNSSEC이 소개되었다. DNSSEC은 하위 도메인에서 자신의 레코드들을 서명하고, 그 서명에 사용된 키를 상위 도메인으로 업로드하여 신뢰 체인을 형성한다. 하지만 이러한 업로드 과정 때문에, DNSSEC를 도입한다고 해도, 검증에 실패하는 확률이 높게 나타난다. 따라서 본 논문에서는, DNSSEC의 문제점으로 이러한 레코드를 업로드 하는 과정을 지목하고, 이를 대체할 수 있는 CertDNS를 소개한다. CertDNS는 서명을 위한 키를 직접 생성하지 않고, CA로부터 인증서를 발급받은 뒤, 함께 발급된 키를 이용해 서명을 생성한다. 시간과 데이터 측면에서 DNSSEC과 비교를 위한 실험을 진행하였으며, 충분히 CertDNS가 DNSSEC을 대체할 수 있음을 보였다.