Come rimuovere il supporto DNSSEC da un dominio?

8

Un'organizzazione ha il supporto DNSSEC per i propri domini. Hanno un BIND9 come server dei nomi autorevole in esecuzione che gestisce anche le chiavi. Tuttavia, è stato deciso di rimuovere DNSSEC. È sufficiente rimuovere il materiale chiave /var/lib/bind/prie riavviare il server o ci sono dei passaggi che dovrebbero essere fatti per averlo rimosso?

debian  bind  dnssec 
QBI
fonte

Risposte:

17

No, non è sufficiente rimuovere la configurazione localmente su un server dei nomi autorevole .

DNSSEC è un sistema gerarchico, catena di fiducia contro avvelenamento da cache DNS .

DNSSEC è stato progettato per proteggere Internet da determinati attacchi , come l'avvelenamento da cache DNS. È un insieme di estensioni a DNS, che forniscono: a) autenticazione dell'origine dei dati DNS, b) integrità dei dati e c) negazione dell'esistenza autenticata.

Esempio di una catena di fiducia :

  1. La zona in sé è firmato con la chiave privata sul primario authoritative name server , ad esempio, ns1.example.com.ha la chiave privata per la firma example.com. Acon example.com. RRSIG A.
  2. La chiave pubblica di example.com.è stata inviata e confermata dall'autorità per com., che quindi l'ha inserita example.com. DS hashe corrispondente example.com. RRSID DS, firmata con chiave privata per.com.

  3. La chiave pubblica di com.è stata inviata e confermata dall'autorità root , che quindi l'ha inserita com. DS hashe corrispondente com. RRSID DS, firmata con chiave root privata, ovvero chiave per ., nota anche come Trust Trust Root Zone :

    La chiave di firma della chiave radice funge da ancoraggio sicuro per DNSSEC per il Domain Name System. Questo ancoraggio sicuro è configurato in resolver compatibili con DNSSEC per facilitare la convalida dei dati DNS.

Puoi ottenere una buona visualizzazione di qualsiasi dominio con DNSViz . Rileva anche errori di configurazione.

Pertanto, l'autorità responsabile del TLD deve essere contattata, probabilmente tramite il registrar , e informata che DNSSEC dovrebbe essere disabilitato per il dominio. Disabiliteranno DNSSEC rimuovendo il DSrecord di concatenamento dai loro nameserver. In caso contrario, DNSSEC sarà ancora attivata, causando il server dei nomi autorevole per essere visto come un name server canaglia .

Esa Jokinen
fonte
3
Tieni presente che la semplice rimozione del DS dalla zona padre sarà sufficiente per rilasciare la tua zona allo stato non sicuro, indipendentemente da qualsiasi record DNSSEC in esso conservato (in quel momento). Questo è il primo passo da fare; si desidera attendere almeno il TTL del DS prima di rimuovere effettivamente i record DNSSEC.
Vladimír Čunát,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.