Wie entferne ich die DNSSEC-Unterstützung von einer Domain?

8

Eine Organisation hat DNSSEC-Unterstützung für ihre Domänen. Sie haben einen BIND9 als autorisierenden Nameserver, der auch die Schlüssel verwaltet. Es wurde jedoch beschlossen, DNSSEC zu entfernen. Ist es ausreichend, das Schlüsselmaterial zu entfernen /var/lib/bind/priund den Server neu zu starten, oder gibt es Schritte, die ausgeführt werden sollten, um es zu entfernen?

qbi
quelle

Antworten:

17

Nein, es reicht nicht aus, die Konfiguration nur lokal auf einem autorisierenden Nameserver zu entfernen .

DNSSEC ist ein hierarchisches System, eine Vertrauenskette gegen DNS- Cache-Vergiftungen .

DNSSEC wurde entwickelt, um das Internet vor bestimmten Angriffen wie DNS-Cache-Vergiftungen zu schützen . Es handelt sich um eine Reihe von Erweiterungen für DNS, die Folgendes bieten: a) Ursprungsauthentifizierung von DNS-Daten, b) Datenintegrität und c) authentifizierte Verweigerung der Existenz.

Beispiel einer Vertrauenskette :

  1. Die Zone selbst mit der Unterzeichnung privaten Schlüssel auf Ihrem primären autoritativen Nameserver , zum Beispiel ns1.example.com.hat den privaten Schlüssel zum Signieren example.com. Amit example.com. RRSIG A.
  2. Der öffentliche Schlüssel von example.com.wurde an die Behörde für gesendet und von dieser bestätigt com., die ihn dann in example.com. DS hashund entsprechend example.com. RRSID DSmit privatem Schlüssel für signiert hat.com.
  3. Der öffentliche Schlüssel von com.wurde an die Root-Behörde gesendet und von dieser bestätigt. Diese hat ihn dann in com. DS hashund entsprechend com. RRSID DS, signiert mit privatem Root-Schlüssel, dh Schlüssel für ., auch bekannt als Root Zone Trust Anchor :

    Der Root Key Signing Key fungiert als Vertrauensanker für DNSSEC für das Domain Name System. Dieser Vertrauensanker ist in DNSSEC-fähigen Resolvern konfiguriert, um die Validierung von DNS-Daten zu erleichtern.

Mit DNSViz können Sie eine schöne Visualisierung jeder Domain erhalten . Es erkennt auch Konfigurationsfehler.

Daher muss die für die TLD zuständige Behörde wahrscheinlich über den Registrar kontaktiert und darüber informiert werden, dass DNSSEC für die Domain deaktiviert werden sollte. Sie deaktivieren DNSSEC, indem sie den Verkettungsdatensatz DSvon ihren Nameservern entfernen . Andernfalls wird DNSSEC weiterhin aktiviert, sodass Ihr autorisierender Nameserver als unerwünschter Nameserver angesehen wird .

Esa Jokinen
quelle
3
Beachten Sie, dass das Entfernen des DS aus der übergeordneten Zone ausreicht, um Ihre Zone in einen unsicheren Status zu versetzen, unabhängig davon, welchen DNSSEC-Eintrag Sie (in diesem Moment) darin aufbewahren. Das ist der erste Schritt; Sie möchten mindestens auf die TTL des DS warten, bevor Sie die DNSSEC-Einträge tatsächlich entfernen.
Vladimír Čunát