服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何从域中删除DNSSEC支持?
Intereting Posts
Nginx + php-fpm VS Nginx作为Apache的反向代理 Ping Lan通过主机位于VPN后面 当更新序列号(原始和当前)总是不相等时,这意味着什么? 如何在Windows Server 2008上configurationOpenSSH以对Active Directory进行身份validation 在没有SP1的情况下运行Windows Server 2008 R2数据中心有多安全? 系统服务在重启时的行为 为什么当从驱动器根目录的权限列表中明确删除时,pipe理员组的权限将从驱动器根目录inheritance? (Windows Server 2003) 使用Azure VM中的PowerShell检索用于存储池的磁盘的VHD kubernetes和跨多个豆荚共享nfs卷 Apache Proxy来显示另一个网站 是否有可能从本地没有VPN远程活动目录身份validation 将DNS和AD DS移到他们自己的服务器上 SSH的Plesk Root用户名和密码 为什么在向用户发送邮件时,postfix会向本地假脱机文件发送退信通知? 指定的login会话不存在。 它可能已经被终止(仅来自SSH)

如何从域中删除DNSSEC支持?

一个组织对其域名拥有DNSSEC支持。 他们有一个BIND9作为权威名字服务器运行,它也pipe理密钥。 但是决定删除DNSSEC。 删除/var/lib/bind/pri中的密钥材料并重新启动服务器是否足够?或者是否有步骤来完成它?emoved

不,只是在权威名称服务器上本地删除configuration是不够的。

DNSSEC是一个分级系统, 信任链又是 DNS caching中毒

DNSSEC旨在保护Internet免受某些攻击 ,如DNScaching中毒。 它是DNS的一个扩展,它提供了:a)DNS数据的来源authentication,b)数据完整性,以及c)经过authentication的拒绝存在。

信任链的例子:

  1. 区域本身使用主权威名称服务器上的私钥进行签名,例如ns1.example.com. 有用于签署example.com. A私钥 example.com. A example.com. Aexample.com. RRSIG A example.com. RRSIG A
  2. example.com. 公钥 example.com. 已经发送给com.的授权机构确认com. ,然后在example.com. DS hash example.com. DS hash和相应的example.com. RRSID DS example.com. RRSID DS ,用.com. 私钥签名.com.

  3. com. 公钥 已经发送给根权力机构并由其确认com. DS hash com. DS hash和相应的com. RRSID DS com. RRSID DS ,用私有密钥进行签名,即密钥. ,又名根区信任锚 :

    根密钥签名密钥充当域名系统的DNSSEC的信任锚点。 此信任锚点在支持DNSSEC的parsing程序中进行configuration,以便于validationDNS数据。

您可以使用DNSViz获得任何域的很好的可视化。 它也检测configuration错误。

因此,必须通过注册服务商联系顶级域名(TLD)负责机构 ,并通知域名应禁用DNSSEC。 他们将通过从名称服务器中删除链接DSlogging来禁用DNSSEC。 否则,DNSSEC仍将被启用,导致您的权威名称服务器被视为恶意名称服务器