タグ付けされた質問 「dnssec」

3
DNSSECを提供すると、どのようなセキュリティの脆弱性が露呈しますか?
DNSSECでDNSゾーンに署名することを計画していました。私のゾーン、レジストラ、およびDNSサーバー(BIND9)はすべてDNSSECをサポートしています。DNSSECをサポートしていないのは、私のセカンダリネームサーバープロバイダー(つまりbuddyns.com)だけです。 彼らのウェブサイトで、彼らはDNSSECに関してこれを述べています: BuddyNSは、大量のDNSサービスに適さないいくつかの脆弱性にさらされるため、DNSSECをサポートしていません。 ほとんどのリゾルバはレコードが正しく署名されているかどうかをチェックしないので、DNSSECの使用は現在何らかの形で疑わしいと思いました。私が知りませんでした-彼らの声明によると-それを提供することは何らかの種類のセキュリティ脆弱性を公開するようです。 それらの「脆弱性」とは何ですか?

1
DNSSEC展開でSHA-256を合理的に使用できますか?
RFC 5702がDNSSECでのSHA-2の使用を文書化し、RFC 6944が RSA / SHA-256を「実装が推奨される」と定義していることを知っています。私が気づいていないのは、リゾルバーの検証で広く実装されているSHA-256がどれだけあるかです。 インターネットゾーン(特に興味があるのは.orgドメイン)にSHA-256で署名することは現実的ですか、それともDNSSEC対応インターネットの大規模なスワスに対してゾーンを検証できないようにしていますか? フォローアップとして、同じレベルのセキュリティを維持するために、ハッシュの変更でキースケジュールを変更できますか(たとえば、より短いキースケジュールを使用してSHA-1の使用を回避できますか)?
10 security  dnssec 

1
ドメインからDNSSECサポートを削除する方法
組織は、ドメインに対してDNSSECをサポートしています。キーを管理する権限のあるネームサーバーとしてBIND9が実行されています。ただし、DNSSECを削除することが決定されました。鍵の素材を削除し/var/lib/bind/priてサーバーを再起動するだけで十分ですか、それを取得するために実行する必要がある手順はありますか?
8 debian  bind  dnssec 

2
ドメインプロバイダーに預けたキーを更新する必要がありますか?
dnssecでいくつかのドメインを設定しました。キーを生成し、dnssec-toolsのzonesignerを使用してゾーンに署名しました。30日以内にゾーンを辞任する必要があることを知っています。しかし、ドメインプロバイダーに預けたキーはどうなっているのでしょうか。キーも更新する必要がありますか?はいの場合、どのように?ウェブサイトでこれに関する情報を見つけることができません。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.