GSS-TSIG (Algoritmo de servicio de seguridad genérico para transacciones de claves secretas) es una extensión del protocolo de autenticación TSIG DNS para el intercambio seguro de claves. Es un algoritmo GSS-API que utiliza Kerberos para pasar tokens de seguridad para proporcionar autenticación, integridad y confidencialidad.
GSS-TSIG (RFC 3645) utiliza un mecanismo como SPNEGO con Kerberos o NTLM . En Windows, esta implementación se denomina Actualización dinámica segura . [1]
GSS-TSIG utiliza registros TKEY para el intercambio de claves entre el cliente DNS y el servidor en modo GSS-TSIG. Para la autenticación entre el cliente DNS y Active Directory , deben realizarse los intercambios AS-REQ, AS-REP, TGS-REQ, TGS-REP para la concesión del ticket y el establecimiento de un contexto de seguridad. El contexto de seguridad tiene una vida útil limitada durante la cual pueden tener lugar actualizaciones dinámicas del servidor DNS.