답변:
아닙니다 . 신뢰할 수있는 이름 서버 에서 로컬로 구성을 제거하는 것만으로는 충분하지 않습니다 .
DNSSEC는 계층 적 시스템으로, 신뢰의 체인 전년도 의 DNS 캐시 포이즈 닝 .
DNSSEC 는 DNS 캐시 중독과 같은 특정 공격 으로부터 인터넷을 보호하도록 설계되었습니다 . 이는 DNS에 대한 확장 세트로서, a) DNS 데이터의 원본 인증, b) 데이터 무결성 및 c) 인증 된 존재 거부를 제공합니다.
신뢰 사슬의 예 :
ns1.example.com.가 개인 키 서명에 대한 example.com. A과를 example.com. RRSIG A.example.com.대한 기관에 보내 확인 된 com.다음에 그것을 가지고, example.com. DS hash및 해당 example.com. RRSID DS서명, 개인 키 에 대한.com.공개 키 의 com.에 의해 전송 및 확인되었습니다 루트 권한 다음에 그것을 가지고, com. DS hash및 해당 com. RRSID DS서명, 개인 루트 키 에 대한 즉, 키 .일명, 루트 영역 신뢰 앵커 :
루트 키 서명 키는 도메인 이름 시스템의 DNSSEC에 대한 트러스트 앵커 역할을합니다. 이 트러스트 앵커는 DNSSEC 인식 확인자에서 구성되어 DNS 데이터의 유효성 검사를 용이하게합니다.
DNSViz 를 사용하면 모든 도메인을 멋지게 시각화 할 수 있습니다 . 구성 오류도 감지합니다.
따라서 TLD를 담당하는 기관에 등록 기관을 통해 연락 해야하며 도메인에 대해 DNSSEC를 비활성화해야한다는 정보를 제공해야합니다. DS이름 서버에서 연결 레코드를 제거하여 DNSSEC를 비활성화 합니다. 그렇지 않으면 DNSSEC가 계속 활성화되어 신뢰할 수있는 이름 서버가 불량 이름 서버로 표시 됩니다.