도메인에서 DNSSEC 지원을 제거하는 방법?


8

조직의 도메인에 대한 DNSSEC 지원이 있습니다. 여기에는 키를 관리하는 정식 이름 서버로 BIND9이 있습니다. 그러나 DNSSEC를 제거하기로 결정했습니다. 키 자료를 제거하고 /var/lib/bind/pri서버를 다시 시작 하기에 충분 합니까?

답변:


17

아닙니다 . 신뢰할 수있는 이름 서버 에서 로컬로 구성을 제거하는 것만으로는 충분하지 않습니다 .

DNSSEC는 계층 적 시스템으로, 신뢰의 체인 전년도 의 DNS 캐시 포이즈 닝 .

DNSSEC 는 DNS 캐시 중독과 같은 특정 공격 으로부터 인터넷을 보호하도록 설계되었습니다 . 이는 DNS에 대한 확장 세트로서, a) DNS 데이터의 원본 인증, b) 데이터 무결성 및 c) 인증 된 존재 거부를 제공합니다.

신뢰 사슬의 예 :

  1. 자체 서명 된 영역 개인 키 당신에 차 네임 서버 인증 , 예를 들면 ns1.example.com.개인 키 서명에 대한 example.com. A과를 example.com. RRSIG A.
  2. 공개 키example.com.대한 기관에 보내 확인 된 com.다음에 그것을 가지고, example.com. DS hash및 해당 example.com. RRSID DS서명, 개인 키 에 대한.com.
  3. 공개 키com.에 의해 전송 및 확인되었습니다 루트 권한 다음에 그것을 가지고, com. DS hash및 해당 com. RRSID DS서명, 개인 루트 키 에 대한 즉, 키 .일명, 루트 영역 신뢰 앵커 :

    루트 키 서명 키는 도메인 이름 시스템의 DNSSEC에 대한 트러스트 앵커 역할을합니다. 이 트러스트 앵커는 DNSSEC 인식 확인자에서 구성되어 DNS 데이터의 유효성 검사를 용이하게합니다.

DNSViz 를 사용하면 모든 도메인을 멋지게 시각화 할 수 있습니다 . 구성 오류도 감지합니다.

따라서 TLD를 담당하는 기관에 등록 기관을 통해 연락 해야하며 도메인에 대해 DNSSEC를 비활성화해야한다는 정보를 제공해야합니다. DS이름 서버에서 연결 레코드를 제거하여 DNSSEC를 비활성화 합니다. 그렇지 않으면 DNSSEC가 계속 활성화되어 신뢰할 수있는 이름 서버가 불량 이름 서버로 표시 됩니다.


3
부모 영역에서 DS를 제거하기 만하면 해당 시점에 DNSSEC 레코드에 관계없이 영역이 안전하지 않은 상태가 될 수 있습니다. 이것이 첫 번째 단계입니다. 실제로 DNSSEC 레코드를 제거하기 전에 DS의 TTL을 기다립니다.
Vladimír Čunát
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.