Zona .ro folosește o cheie de cheie (KSK) pe 2048 biți și o cheie de zona (ZSK) pe 1024 biți. Cheia de cheie (KSK) este rotita la 12 luni, iar cheia de zona (ZSK) este rotita la 3 luni. Semnăturile generate de KSK si ZSK sunt valabile 30 de zile. Pentru semnarea zonei se folosește flag-ul OPT-OUT cu NSEC3.
Pentru activarea DNSSEC, un deținător de domeniu va folosi un software specializat pentru semnarea zonei respectivului domeniu, va publica zona semnată pe serverele de nume asociate domeniului și va actualiza la Registrul ROTLD înregistrările de tip DS (Delegation Signer). Deținătorul domeniului este responsabil pentru menținerea unei zone valide DNSSEC pentru domeniu său prin resemnarea periodică. De asemenea este recomandată rotirea cheilor de semnare conform celor mai bune practici DNSSEC.
DNSSEC folosește algoritmii de criptare asimetrici. Prin folosirea DNSSEC, toate înregistrările din zona DNS a unui domeniu sunt semnate digital și publicate alături de aceste semnături. Cheile de criptare publice sunt distribuite tot folosind sistemul DNS. Clientul (resolver) care face validarea datelor DNSSEC, folosește cheia publică a serverului ”root” care este considerată sigură și parcurge fiecare nivel DNS pentru autentificarea tot lanțului de nume. Fiecare domeniu semnat DNSSEC trebuie să aibă la părinte o înregistrare de tip DS (Delegation Signer) pentru ca un client ce rezolva numele să poată verifica lanțul de încredere.
Protocolul DNSSEC asigura protecție împotriva atacurilor de tipul "DNS cache poisoning" oferind autentificarea originii datelor DNS, garanția integrității acestor date precum și autentificarea inexistentei domeniului, dar nu oferă confidențialitatea datelor DNS, acestea rămânând necriptate la fel ca înaintea activării DNSSEC.
DNSSEC (Domain Name System Security Extensions) este o extensie a sistemului de nume (DNS) în Internet, ce are ca scop securizarea acestui protocol prin folosirea algoritmilor de criptare.
Registrul RoTLD acceptă următoarele valori pentru înregistrarea DS:
- algoritmul cheii: 3 (DSA/SHA-1), 5 (RSA/SHA-1), 6 (DSA-NSEC3-SHA1), 7 (SASHA-NSEC-SHA1), 8 (RSA/SHA-256), 10 (RSA/SHA-512), 12 (GOST R 34.10-2001), 13 (ECDSA Curve P-256 with SHA-256), 14 (ECDSA Curve P-384 with SHA-384);
- tipul hash: 1 (SHA-1) si 2 (SHA-256).