ドメインからDNSSECサポートを削除する方法

組織は、ドメインに対してDNSSECをサポートしています。キーを管理する権限のあるネームサーバーとしてBIND9が実行されています。ただし、DNSSECを削除することが決定されました。鍵の素材を削除し/var/lib/bind/priてサーバーを再起動するだけで十分ですか、それを取得するために実行する必要がある手順はありますか？

いいえ、権限のあるネームサーバーでローカルに構成を削除するだけでは不十分です。

DNSSECは階層的システムであり、信頼の連鎖はDNS キャッシュポイズニングに対抗します。

DNSSECは、DNSキャッシュポイズニングなどの特定の攻撃からインターネットを保護するために設計されました。これは、DNSの拡張セットであり、a）DNSデータのオリジン認証、b）データの整合性、c）認証された存在の拒否を提供します。

信頼の連鎖の例：

1. ゾーン自体はで署名されている秘密鍵あなたの主要な権威ネームサーバなどは、ns1.example.com.持っている秘密鍵署名のためexample.com. Aにをexample.com. RRSIG A。
2. の公開鍵がexample.com.の機関に送信され、確認されましたcom.。その後、の機関に秘密鍵で署名されexample.com. DS hash、対応example.com. RRSID DSしています。.com.

3. 公開鍵のcom.に送られて確認されているroot権限、その後にそれを持っている、com. DS hashそして対応com. RRSID DSで署名、プライベートルートキー用つまりキー.別名、ルートゾーントラストアンカー：

   ルートキー署名キーは、ドメインネームシステムのDNSSECのトラストアンカーとして機能します。このトラストアンカーは、DNSデータの検証を容易にするためにDNSSEC対応のリゾルバーで構成されます。

DNSVizを使用すると、任意のドメインを適切に視覚化できます。また、構成エラーも検出します。

したがって、TLDの責任を負う機関に、おそらくレジストラを通じて連絡し、ドメインに対してDNSSECを無効にする必要があることを通知する必要があります。DSネームサーバーから連鎖レコードを削除することにより、DNSSECを無効にします。それ以外の場合、DNSSECは引き続き有効になり、権限のあるネームサーバーが不正なネームサーバーと見なされます。