Adicionando o registro DS ao pai no DNS

5

Estou tentando configurar o DNSSEC para meus domínios. Tudo parece funcionar, mas recebo o seguinte erro:

DNSKEY encontrado no filho, mas nenhum DS foi encontrado no pai.

Check for DS records in parent zone

We found that none of your DNSKEY records are published at parent. All KSKs (Key Signing Keys) should have a corresponding DS record containing the digest of the key at the parent zone.

Recommendation
Publish DS records for all your DNSKEY (KSK) records in parent DNS zone. This will establish a chain of trust from the parent to your zone.

Alguém sabe qual poderia ser o problema?

Estou usando o webmin para minha configuração do BIND e tenho uma opção chamada verificação do dnssec, e acho que é feita por meio do link .

Eu fiz uma captura de tela para isso:

    
por Saif Bechan 14.09.2010 / 10:55

1 resposta

7

O problema é exatamente de acordo com o texto citado.

A validação de dados assinados pelo DNSSEC requer:

  1. uma cadeia completa de confiança da zona de raiz até a sua própria ou
  2. configuração de uma 'âncora confiável' específica para sua zona

Na maioria dos casos, agora que a raiz está realmente assinada, a primeira é a preferida. Você tem um DNSKEY na sua zona e deve enviar um registro DS para os administradores da zona pai. Eles assinam esse registro com sua própria chave e, da mesma forma, seus próprios DS registros são enviados para sua zona pai, que pode ser a raiz.

No entanto, isso exige que todos os níveis do DNS entre seu domínio e a raiz também tenham DNSSEC.

Qual é o seu domínio? É bem possível que o seu domínio pai ainda não ofereça suporte ao DNSSEC.

Caso contrário, a próxima melhor opção é enviar seu registro do DS para o repositório "DLV" do ISC. Esse é um recurso de DNS bem suportado que permite a distribuição segura de âncoras de confiança para domínios que ainda não têm uma cadeia de confiança totalmente segura até a "raiz". Adicionar seu registro permitirá que outras pessoas validem seu nome de domínio.

EDIT O DLV do ISC não está mais em operação.

    
por 20.09.2010 / 08:28