Não, não é suficiente apenas remover a configuração localmente em um servidor de nomes autoritativo .
DNSSEC é um sistema hierárquico, cadeia de confiança novamente DNS envenenamento de cache .
DNSSEC was designed to protect the Internet from certain attacks, such as DNS cache poisoning. It is a set of extensions to DNS, which provide: a) origin authentication of DNS data, b) data integrity, and c) authenticated denial of existence.
Exemplo de uma cadeia de confiança :
- A própria zona é assinada com a chave privada em seu servidor principal de nomes autoritativos , por exemplo
ns1.example.com.
tem a chave privada para assinarexample.com. A
comexample.com. RRSIG A
. - A chave pública de
example.com.
foi enviada e confirmada pela autoridade paracom.
, que então a contém emexample.com. DS hash
eexample.com. RRSID DS
correspondente, assinada com chave privada para.com.
-
A chave pública de
com.
foi enviada para e confirmada pela autoridade raiz , que a possui emcom. DS hash
e correspondentecom. RRSID DS
, assinada com chave raiz privada , ou seja, chave para.
, também conhecida como Âncora de Confiança da Zona Raiz :The Root Key Signing Key acts as the trust anchor for DNSSEC for the Domain Name System. This trust anchor is configured in DNSSEC-aware resolvers to facilitate validation of DNS data.
Você pode obter uma boa visualização de qualquer domínio com DNSViz . Também detecta erros de configuração.
Portanto, a autoridade responsável do TLD deve ser contatada, provavelmente por meio do registrador , e informada de que o DNSSEC deve ser desativado para o domínio. Eles desabilitarão o DNSSEC removendo o registro DS
do encadeamento de seus servidores de nomes. Caso contrário, o DNSSEC ainda estará ativado, fazendo com que seu servidor de nomes autoritativo seja visto como um servidor de nomes invasores .