Como remover o suporte DNSSEC de um domínio?

8

Uma organização tem suporte DNSSEC para seus domínios. Eles têm um BIND9 como servidor de nomes oficial em execução, que também gerencia as chaves. No entanto, foi decidido remover o DNSSEC. É suficiente remover o material principal /var/lib/bind/prie reiniciar o servidor ou existem etapas que devem ser feitas para que ele seja removido?

debian bind dnssec qbi
fonte

Respostas:

17

Não, não basta remover a configuração localmente em um servidor de nomes autoritativo .

DNSSEC é um sistema hierárquico, cadeia de confiança contra envenenamento de cache DNS .

O DNSSEC foi projetado para proteger a Internet de certos ataques , como envenenamento de cache DNS. É um conjunto de extensões para o DNS, que fornece: a) autenticação de origem dos dados DNS, b) integridade dos dados ec) negação de existência autenticada.

Exemplo de uma cadeia de confiança :

  1. A zona em si é assinado com a chave privada no seu servidor de nomes com autoridade primária , por exemplo, ns1.example.com.tem a chave privada para assinar example.com. Acom example.com. RRSIG A.
  2. A chave pública de example.com.foi enviada e confirmada pela autoridade para com., que a possui example.com. DS hashe corresponde example.com. RRSID DS, assinada com chave privada para.com.

  3. A chave pública de com.foi enviada e confirmada pela autoridade root , que a possui com. DS hashe correspondente com. RRSID DS, assinada com a chave root privada, ou seja, a chave para ., também conhecida como Root Zone Trust Anchor :

    A chave de assinatura da chave raiz atua como a âncora de confiança do DNSSEC para o sistema de nomes de domínio. Essa âncora confiável é configurada nos resolvedores compatíveis com DNSSEC para facilitar a validação dos dados DNS.

Você pode obter uma boa visualização de qualquer domínio com o DNSViz . Ele também detecta erros de configuração.

Portanto, a autoridade responsável pelo TLD deve ser contatada, provavelmente através do registrador , e informada de que o DNSSEC deve ser desativado para o domínio. Eles desabilitarão o DNSSEC removendo o DSregistro de encadeamento de seus servidores de nomes. Caso contrário DNSSEC ainda será habilitado, fazendo com que o servidor de nomes com autoridade a ser visto como um servidor de nomes desonestos .

Esa Jokinen
fonte
3
Observe que apenas remover o DS da zona pai será suficiente para deixar sua zona com status inseguro, independentemente do registro DNSSEC que você mantém nele (naquele momento). Esse é o primeiro passo a fazer; você deseja aguardar pelo menos o TTL do DS antes de remover os registros DNSSEC.
Vladimír Čunát