Słownik pojęć

Klucz podpisujący strefę (ZSK)

Autor: Jack Zagorski | 2026-05-05 10:04:11

Czym jest klucz podpisujący strefę (Zone Signing Key, ZSK)?

Klucz podpisujący strefę (Zone Signing Key, ZSK) to klucz kryptograficzny wykorzystywany w DNSSEC (Domain Name System Security Extensions) do cyfrowego podpisywania poszczególnych rekordów DNS w danej strefie DNS.

ZSK zapewnia, że gdy ktoś wykonuje zapytanie DNS, informacje zwrócone z tej strefy można zweryfikować jako autentyczne i niezmienione. Jest częścią systemu podpisów cyfrowych, który utrzymuje DNS w bezpiecznym stanie i uniemożliwia atakującym wstrzyknięcie fałszywych danych.

Jaka jest rola ZSK w DNSSEC?

DNSSEC wykorzystuje dwa rodzaje kluczy do utrzymania zaufania i weryfikacji autentyczności: klucz podpisujący strefę (ZSK) oraz klucz podpisujący klucze (Key Signing Key, KSK). ZSK odpowiada za podpisywanie właściwych rekordów zasobów DNS, takich jak wpisy A, MX, TXT i NS.

Gdy wykonywane jest zapytanie DNS, resolver sprawdza podpis cyfrowy utworzony przez ZSK względem odpowiadającego mu klucza publicznego opublikowanego w rekordzie DNSKEY strefy. Jeśli podpis się zgadza, potwierdza to, że dane nie zostały naruszone.

ZSK jest zazwyczaj krótszy i rotowany częściej niż KSK, ponieważ bezpośrednio podpisuje wszystkie aktywne dane DNS w strefie. KSK z kolei podpisuje wyłącznie ZSK, łącząc go z szerszym łańcuchem zaufania DNSSEC.

Zarządzanie i rotacja ZSK

Prawidłowe zarządzanie kluczami podpisującymi strefę jest niezbędne do utrzymania bezpiecznej i nieprzerwanej usługi DNS. Ponieważ ZSK jest regularnie używany do podpisywania rekordów, może stać się celem atakujących. Rotacja klucza według regularnego harmonogramu ogranicza ryzyko naruszenia klucza i pomaga utrzymać dobrą kondycję kryptograficzną.

Jeśli ZSK zostaje zmieniony, nowy klucz musi zostać opublikowany w rekordzie DNSKEY strefy, zanim stary zostanie wycofany. Dzięki temu resolvery mogą nadal weryfikować podpisy bez zakłóceń. Do bezpiecznego przeprowadzania takich rotacji często stosuje się automatyzację oraz narzędzia obsługujące DNSSEC.

ZSK a DMARCeye

Choć DMARCeye koncentruje się na uwierzytelnianiu poczty, a nie na zarządzaniu DNSSEC, zależy od trafnych i bezpiecznych danych DNS. Obecność prawidłowego ZSK pomaga zagwarantować, że rekordów takich jak SPF, DKIM i DMARC nie da się naruszyć na poziomie DNS.

Monitorując dane uwierzytelniania i analizując integralność DNS, DMARCeye zapewnia pewność, że środki ochrony Twojej domeny opierają się na zaufanym fundamencie DNS zabezpieczonym kluczami takimi jak ZSK.

Wypróbuj DMARCeye za darmo i zabezpiecz swoją domenę e-mail.

Aby dowiedzieć się więcej o DMARC i powiązanych pojęciach, zajrzyj do Słownika pojęć DMARCeye.