Организация имеет поддержку DNSSEC для своих доменов. У них есть BIND9 в качестве авторитетного сервера имен, который также управляет ключами. Однако было решено удалить DNSSEC. Достаточно ли удалить ключевой материал /var/lib/bind/priи перезапустить сервер или есть шаги, которые необходимо сделать, чтобы его восстановить?
Ответы:
Нет, недостаточно просто удалить конфигурацию локально на полномочном сервере имен .
DNSSEC - это иерархическая система, цепь доверия против отравления кеша DNS .
DNSSEC был разработан для защиты Интернета от определенных атак , таких как отравление DNS-кэша. Это набор расширений DNS, которые обеспечивают: a) аутентификацию источника данных DNS, b) целостность данных и c) аутентифицированный отказ в существовании.
Пример цепочки доверия :
ns1.example.com.имеет закрытый ключ для подписания example.com. Aс example.com. RRSIG A.example.com.был отправлен и подтвержден органом для com., который затем имеет его example.com. DS hashи соответствующий example.com. RRSID DS, подписанного с закрытым ключом для.com.Открытый ключ из com.был отправлен и подтвержден базовым органом , который затем имеет его com. DS hashи соответствующий com. RRSID DS, подписанного с частным корневым ключом , т.е. ключ для ., он же корневой зоны Trust Anchor :
Ключ подписи корневого ключа действует как якорь доверия для DNSSEC для системы доменных имен. Эта привязка доверия настроена в распознавателях, поддерживающих DNSSEC, для облегчения проверки данных DNS.
Вы можете получить хорошую визуализацию любого домена с DNSViz . Он также обнаруживает ошибки конфигурации.
Поэтому необходимо связаться с органом, ответственным за TLD, возможно, через регистратора , и сообщить, что DNSSEC должен быть отключен для домена. Они отключат DNSSEC, удалив цепочку DSзаписей со своих серверов имен. В противном случае DNSSEC все еще будет включен, в результате чего ваш авторитетный сервер имен будет рассматриваться как мошеннический сервер имен .