ドメインからDNSSECサポートを削除する方法


8

組織は、ドメインに対してDNSSECをサポートしています。キーを管理する権限のあるネームサーバーとしてBIND9が実行されています。ただし、DNSSECを削除することが決定されました。鍵の素材を削除し/var/lib/bind/priてサーバーを再起動するだけで十分ですか、それを取得するために実行する必要がある手順はありますか?

回答:


17

いいえ、権限のあるネームサーバーでローカルに構成を削除するだけでは不十分です。

DNSSECは階層的システムであり、信頼の連鎖はDNS キャッシュポイズニングに対抗します

DNSSECは、DNSキャッシュポイズニングなどの特定の攻撃からインターネットを保護するために設計されました。これは、DNSの拡張セットであり、a)DNSデータのオリジン認証、b)データの整合性、c)認証された存在の拒否を提供します。

信頼の連鎖の例:

  1. ゾーン自体はで署名されている秘密鍵あなたの主要な権威ネームサーバなどは、ns1.example.com.持っている秘密鍵署名のためexample.com. Aにをexample.com. RRSIG A
  2. 公開鍵example.com.の機関に送信され、確認されましたcom.。その後、の機関に秘密鍵で署名されexample.com. DS hash、対応example.com. RRSID DSしています.com.
  3. 公開鍵com.に送られて確認されているroot権限、その後にそれを持っている、com. DS hashそして対応com. RRSID DSで署名、プライベートルートキー用つまりキー.別名、ルートゾーントラストアンカー

    ルートキー署名キーは、ドメインネームシステムのDNSSECのトラストアンカーとして機能します。このトラストアンカーは、DNSデータの検証を容易にするためにDNSSEC対応のリゾルバーで構成されます。

DNSVizを使用すると、任意のドメインを適切に視覚化できます。また、構成エラーも検出します。

したがって、TLDの責任を負う機関に、おそらくレジストラを通じて連絡し、ドメインに対してDNSSECを無効にする必要があることを通知する必要があります。DSネームサーバーから連鎖レコードを削除することにより、DNSSECを無効にします。それ以外の場合、DNSSECは引き続き有効になり、権限のあるネームサーバーが不正なネームサーバーと見なされます


3
親ゾーンからDSを削除するだけで、(その時点で)保持しているDNSSECレコードに関係なく、ゾーンを安全でない状態に落とすのに十分であることに注意してください。これが最初のステップです。実際にDNSSECレコードを削除する前に、少なくともDSのTTLを待つ必要があります。
ウラジミール・Čunát
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.