Como remover o suporte a DNSSEC de um domínio?

6

Uma organização tem suporte a DNSSEC para seus domínios. Eles têm um BIND9 como servidor de nomes com autoridade que também gerencia as chaves. No entanto, foi decidido remover o DNSSEC. É suficiente remover o material da chave em /var/lib/bind/pri e reiniciar o servidor ou há etapas que devem ser executadas para que seja removido?

    
por qbi 05.05.2017 / 13:25

1 resposta

15

Não, não é suficiente apenas remover a configuração localmente em um servidor de nomes autoritativo .

DNSSEC é um sistema hierárquico, cadeia de confiança novamente DNS envenenamento de cache .

DNSSEC was designed to protect the Internet from certain attacks, such as DNS cache poisoning. It is a set of extensions to DNS, which provide: a) origin authentication of DNS data, b) data integrity, and c) authenticated denial of existence.

Exemplo de uma cadeia de confiança :

  1. A própria zona é assinada com a chave privada em seu servidor principal de nomes autoritativos , por exemplo ns1.example.com. tem a chave privada para assinar example.com. A com example.com. RRSIG A .
  2. A chave pública de example.com. foi enviada e confirmada pela autoridade para com. , que então a contém em example.com. DS hash e example.com. RRSID DS correspondente, assinada com chave privada para .com.
  3. A chave pública de com. foi enviada para e confirmada pela autoridade raiz , que a possui em com. DS hash e correspondente com. RRSID DS , assinada com chave raiz privada , ou seja, chave para . , também conhecida como Âncora de Confiança da Zona Raiz :

    The Root Key Signing Key acts as the trust anchor for DNSSEC for the Domain Name System. This trust anchor is configured in DNSSEC-aware resolvers to facilitate validation of DNS data.

Você pode obter uma boa visualização de qualquer domínio com DNSViz . Também detecta erros de configuração.

Portanto, a autoridade responsável do TLD deve ser contatada, provavelmente por meio do registrador , e informada de que o DNSSEC deve ser desativado para o domínio. Eles desabilitarão o DNSSEC removendo o registro DS do encadeamento de seus servidores de nomes. Caso contrário, o DNSSEC ainda estará ativado, fazendo com que seu servidor de nomes autoritativo seja visto como um servidor de nomes invasores .

    
por 05.05.2017 / 14:18