Организация поддерживает DNSSEC для своих доменов. У них есть BIND9 в качестве авторитетного сервера имен, который также управляет ключами. Однако было решено удалить DNSSEC. Достаточно ли удалить ключевой материал из / var / lib / bind / pri
и перезапустить сервер, или есть шаги, которые необходимо сделать, чтобы его удалить
Нет, недостаточно просто удалить конфигурацию локально на полномочном сервере имен .
DNSSEC - это иерархическая система, цепочка доверия против DNS отравления кеша .
DNSSEC был разработан для защиты Интернета от определенных атак , таких как как отравление кеша DNS. Это набор расширений DNS, которые обеспечивать: а) аутентификацию источника данных DNS, б) целостность данных, и c) подтвержденное отрицание существования.
Пример цепочки доверия :
ns1.example.com.
имеет закрытый ключ для подписи example.com. A
с example.com. RRSIG A
. example.com.
был отправлен и подтвержден администратором com.
, который затем размещен на example.com. Хеш DS
и соответствующий example.com. RRSID DS
, подписанный закрытым ключом для .com.
Открытый ключ из com.
был отправлен и подтвержден корневым органом , который затем хранит его в com. DS hash
и соответствующий com. RRSID DS
,подписан закрытым корневым ключом , то есть ключом для .
, он же Якорь доверия корневой зоны :
Ключ подписи корневого ключа действует как якорь доверия для DNSSEC для в Система доменных имен. Этот якорь доверия настроен с учетом DNSSEC. преобразователи для облегчения проверки данных DNS.
Вы можете получить хорошую визуализацию любого домена с DNSViz . Он также обнаруживает ошибки конфигурации.
Следовательно, необходимо связаться с органом, ответственным за TLD, возможно, через регистратора , и сообщить, что DNSSEC следует отключить для домена. Они отключат DNSSEC, удалив запись цепочки DS
со своих серверов имен. В противном случае DNSSEC все равно будет включен, в результате чего ваш полномочный сервер имен будет рассматриваться как мошеннический сервер имен .