在阅读了Windows Server 2008 R2中的DNSSEC实现之后,我认为在没有完全安全的情况下,它会增加额外的复杂性(我明白,在大多数情况下,更多的安全性总是意味着更复杂)。 第一个DNS客户端不知道DNSSEC,并要求parsing该logging的服务器检查此logging的有效性,并仅在NRPT表存在的情况下执行(您需要另外configuration – 没有表没有检查;并且这仍然是WS 2012 / Win 8中的情况)。 除了以某种笨拙的体系结构的方式来看,问题是客户端没有任何选项来validationDNS服务器(在这方面100%安全,您需要在Windowsnetworking中部署IPSec,这增加了更多的复杂性)。 那么考虑到这一切,在现实世界中部署DNSSEC值得吗? 它真的提高了安全性还是增加了不必要的复杂性? 有没有人真的在企业Windowsnetworking中使用这种技术?
我想为处理我的电子邮件的域名设置DANE。 我的域名在OVH注册,我正在使用他们的Anycast DNS服务器。 他们支持DNSSEC,但不支持TLSAlogging。 有没有可以使用的回退loggingtypes? (就像我可以使用TXT,如果服务器不支持SPF等)
我几乎开箱即用的Windows 2003服务器也是一些用户的域名服务器。 我应该担心5月5日在根名称服务器上部署dnssec吗? 我已经运行: dnscmd /Config /EnableEDnsProbes 1 非常感谢! PS。 我的防火墙/networking基础设施不会阻止> 512B的udp数据包 我成熟的testing结果: 宣布的缓冲区大小:1280字节 测量的缓冲区大小:1259字节 启用EDNS:是的 启用DNSSEC:否 您的parsing器没有启用DNSSEC。 注意:由于使用的algorithm,缓冲区大小的公布和测量结果之间总会有差异。 但是这个差别不应该超过300个字节。 ps#2 这是主动的目录服务器,所以它有dns服务是权威的dns服务器为一些内部的dns区域[不使用公共互联网]。 这个服务器也被用作一些内部用户的recursion名字服务器。
有人可以用简单的语言解释NSEC3 RR中退出标志的含义吗? 我没有读RFC 5155 ,什么也不懂。
我有一个关于DNSSEC的初学者问题。 我有很多关于TLS和密码技术的经验,并希望尝试这种新技术。 我已经search了很多关于这个,但我没有find有用的信息给我。 我认为信息收集的一个混乱是“Debian howto DNSSEC设置”可能意味着“如何使用DNSSEC解决”或“如何使用DNSSEC保护您的域名”。 我正在寻找第二个。 我正在运行具有以“.de”结尾的域名(已经由根域签名)的root权限的Debian Squeeze服务器。 此服务器上的networking接口使用运行服务器的数据中心的网关IP(DNSparsing器?)。 我的网域位于freedns.afraid.org,我可以在其中为我的网域添加DNS RR。 目前他们无法添加DNSSEC RR,但我正在仔细研究以支持这一点。 😉 我的简单问题是:如何在Debian上设置DNSSEC? RESP。 我要问谁? 据我所知,我所要做的就是在我的Debian服务器上运行dnssec-keygen ,然后将密钥添加到我的DNS提供程序中作为DNSSEC RR。 (每30天更换一次?) 我已经看了这个http://www.isc.org/files/DNSSEC_in_6_minutes.pdf,但看起来你必须是ZONE的所有者,所以我不认为这适用于我。 谁需要签署我的域名? 我的DNS提供商或我的区域(DeNIC),或者我可以自己做吗? 任何帮助非常感谢!
任何人都可以提供在BIND 9.7下设置DNSSEC的分步过程吗? 我认为这个版本是相关的,因为它可以让生活更轻松。 事实上,ISC发布了一个叫做DNSSEC的文件,我以此为出发点,尽pipe这不是一个教程。 我使用的主要原因是9.7(而不是全新的9.9),它是Debian 6下的稳定版本。我应该提到,我有一个基本的BINDconfiguration启动和运行。 我试过的: 包含在/etc/bind/named.conf.options相应的大括号内的行 dnssec-enable yes; 并重新启动BIND。 Ran dnssec-keygen example.com Ran dnssec-keygen -fk example.com 试过dnssec-signzone –S example.com 但是,最后一步给我的错误 dnssec-signzone: fatal: No signing keys specified or found. 我可以看到这是一个可能的错误,因为似乎缺less指示我的钥匙在哪里的选项,但是ISC引用的指南特别引用了最后一个例子。 事实上,标志-S实际上就是“智能签名”,所以我希望在执行最后一个命令( /etc/bind )的同一目录下有足够的密钥。 由于这是一个玩具,非生产项目,我不介意每隔30天重复这些步骤,但我想尽可能简单地保持它们,并让它们正确! 任何想法/指针? 提前致谢。
什么使DNSSEC免于MITM攻击? 为什么我不能在example.com上签名一个密钥,并将其parsing为名称服务器或客户端,然后才能从真正的源代码获取该密钥?
我的任务是在名称服务器上查看实施DNSSEC。 虽然技术方面(生成键,标志区,准备翻转)相对简单,但我遇到了一个后勤问题。 从我一直在阅读的文档中,1024位对于区域签名密钥来说是一个很好的尺寸,适当的过程是每个区域有一个ZSK,大约有一个月的翻转 然而,在一个合理的快速计算机上,需要10分钟的时间才能生成一个1024位的密钥…而ISP为超过三千个区域的主机工作。 除非我以某种方式从头到尾自动化这个过程,否则这是不可行的 – 即使我这样做了,到这个过程结束时,几乎是时候开始NEXT过渡。 总之,这是不可行的。 目前,我正在将DNSSEC限制在明确要求的客户身上,但这是最好的权宜之计。 我的问题: 我是否会用钥匙长度过度? 我怎样才能加快关键的生成过程? 我应该为每个区域还是ZSK创build个人密钥签名密钥? 编辑:添加我用来生成密钥的确切命令: caleburn: ~/Projects/Systemec/DNS-magic/DNSSEC/keys/ >time dnssec-keygen -r/dev/random -a RSASHA256 -f KSK -b 1280 -n ZONE example.com Generating key pair………………………..+++++ …+++++ Kexample.com.+008+10282 real 9m46.094s user 0m0.092s sys 0m0.140s caleburn: ~/Projects/Systemec/DNS-magic/DNSSEC/keys/ >time dnssec-keygen -r/dev/random -a RSASHA256 -b 1280 -n ZONE example.com Generating key pair…………………….+++++ ………+++++ […]
有人可以通知,请对这两种方法的差异和优点/缺点给予冗长的答复吗? 我不是DNS专家,不是程序员。 我对DNS有一个体面的基本理解,并且有足够的知识来理解kaminsky错误如何工作。 据我所知,DNSCurve具有更强大的encryptionfunction,安装简单,而且是一个更好的解决scheme。 DNSSEC是不必要的复杂,使用可破解的encryption,但它提供了端到端的安全性,DNSCurve没有。 然而,我所阅读的许多文章似乎都表明,端到端的安全性没有什么用处,也没有什么区别。 那么哪个是真的? 哪一个更好的解决scheme,或每个的缺点/优点是什么? 编辑: 我将不胜感激,如果有人能解释什么是通过encryption消息内容,当目标是身份validation,而不是保密。 密钥是1024位RSA密钥的certificate在这里 。
我很好奇今天发布DURZ的L根服务器的实际效果是什么。 在nanog邮件列表中, 有人表示评估发布签名区域的根名称服务器的系统性影响是非常重要的,即使不使用DNSSEC也是如此。 同时,RIPE自己发布的关于对K根服务器进行更改的信息表示, 如果您的parsing器不使用DNSSEC,则不存在任何问题 。 有人可以清除这个吗? DNSSEC似乎是一个混乱,纠结的networking。 如果在我的parsing器上没有启用DNSSEC,我有什么担心即将到来的根服务器更改吗?