DNSSec NSEC3 требует поддержки от Регистратора, DNS-сервера или обоих?
Я интересуюсь получением поддержки NSEC3 моего домена getvalid.com, так, чтобы я мог предотвратить обход имени.
DYN, кажется, не поддерживает NSEC3, и ясно, что BIND и сервер DNS требуют способности поддерживать NSEC3..., но я не уверен, имеет ли базовый регистратор влияние на поддержку NSEC3.
Я должен сделать что-нибудь с регистратором для NSEC3?
В DNSSEC роль корневого и промежуточного серверов имен заключается в обеспечении цепочки доверия до тех пор, пока не будет достигнут авторитетный сервер имен для вашей зоны. Помимо размещения общедоступного ключа DS , связанного с вашей подписанной зоной, они не играют никакой роли в проверке NSEC3.
Для работы NSEC3 вам необходимо подписать свою зону с помощью алгоритма, который требует поддержки этой функции . Старые алгоритмы поддерживаются с помощью вариантов, содержащих идентификатор -NSEC3- . Решатели не будут пытаться использовать новые функции, если поддержка не объявлена таким образом. Если зона была подписана правильно, все, что вам нужно сделать, это выполнить обычные шаги для публикации дайджеста ключа DS на сервере имен непосредственно перед вашим в цепочке делегирования.
From RFC5155 :
Для облегчения развертывания в этой спецификации используется сигнализация. метод предотвращения попыток распознавателей, не знающих NSEC3, проверять ответы из зон, подписанных NSEC3.
Эта спецификация выделяет два новых идентификатора алгоритма DNSKEY для с этой целью. Алгоритм 6, DSA-NSEC3-SHA1 - это псевдоним для алгоритма 3, DSA. Алгоритм 7, RSASHA1-NSEC3-SHA1 - это псевдоним для алгоритма 5, RSASHA1. Это не новые алгоритмы, это дополнительные идентификаторы для существующих алгоритмов.
Зоны, подписанные в соответствии с этой спецификацией, ДОЛЖНЫ использовать только эти идентификаторы алгоритмов для их записей DNSKEY RR. Потому что эти новые идентификаторы будут неизвестными алгоритмами существующим, не знающим NSEC3 преобразователи, эти преобразователи будут обрабатывать ответы от NSEC3 подписанная зона как небезопасная, как подробно описано в разделе 5.2 [RFC4035].
Пока регистратор разрешает вам добавлять любую допустимую запись DS , которую вы хотите делегировать для своей зоны, регистратор не будет иметь значения.
Некоторые вещи, которые регистратор может сделать для этого может вызвать проблему:
если они не позволяют добавлять какие-либо записи
DS, у вас вообще не может быть подписанного делегирования (сDLVв качестве потенциального обходного пути), не проблема для NSEC3 конкретно, но для DNSSEC в целом, если они налагают ограничения на значение записи
DS(в частности, на поле алгоритма), что может заставить вас использовать алгоритм, предшествующий NSEC3.
Ограничение алгоритмов - это не то, с чем я сталкивался, но, по крайней мере, теоретически возможно, что у кого-то мог быть устаревший код проверки. на месте или что-то в этом роде.