GSS-TSIG (Generic Security Service Algorithm for Secret Key Transaction) es una extensión del protocolo de autenticación DNS TSIG para el intercambio seguro de claves. Es un algoritmo GSS-API que utiliza Kerberos para pasar tokens de seguridad con el fin de proporcionar autenticación, integridad y confidencialidad.
GSS-TSIG (RFC 3645) utiliza un mecanismo similar a SPNEGO con Kerberos o NTLM . En Windows, esta implementación se denomina Actualización dinámica segura . [1]
GSS-TSIG utiliza registros TKEY para el intercambio de claves entre el cliente DNS y el servidor en modo GSS-TSIG. Para la autenticación entre el cliente DNS y Active Directory , deben realizarse los intercambios AS-REQ, AS-REP, TGS-REQ, TGS-REP para otorgar el ticket y establecer un contexto de seguridad. El contexto de seguridad tiene una duración limitada durante la cual pueden realizarse actualizaciones dinámicas en el servidor DNS.