我们正在运行一个运行BIND9服务器(以及许多其他服务)的稳定networking。 我正在学习并尝试重新组织旧的configuration文件以符合当前的要求(许多死机,未使用的名称,反向映射等等)。
同时,我很乐意遵循最佳做法,并通过DNSSEC保护DNS。 在检查configuration时,我偶然发现我们使用的TLD没有使用DNSSEC进行保护。
我的问题: 如果楼上的(在超级域名中)没有人这样做,那么有什么要说的吗(我敢打赌)在保护我们的DNS与DNSSEC?
我们的区域/域名空间在我们的大学领域,正下方ve. 空间(委内瑞拉TLD)。 就是说,像example.university.ve. 我们大学的DNS都没有保证。
如果我们应该确保我们的子域名,我仍然想知道如果有攻击者出现,那么不安全的TLD会造成什么样的问题。
PS:我使用的工具如http://dnsviz.net/和https://dnssec-debugger.verisignlabs.com/来检查DNSSEC confs。
DNSSEC的安全性来自一个encryptionvalidation的授权链,从一些给定的数据(如一组Alogging)到一个已知和可信的公钥(称为“信任锚”)。 对于今天的DNSSEC,通常使用的信任锚是根区密钥 。 如果您的父区域未签名,则从您的区域到根区域的连锁断开,并且DNSSEC的安全保证完全失败。 签署你的区域并不重要,因为没有人有理由相信你用来签署的密钥。 就像你可以创build一个密钥并在其中签名一样,一个坏人可以创build一个密钥,并用这个密钥签名你的(可能稍微修改的)数据。 如果没有与信任锚链接的签名链,第三方就无法知道他们是否应该信任你的密钥或坏人的密钥。
现在,如果您希望某些特定的其他人能够信任您的签名,则可以为他们提供一个可以用作您的域的信任锚的密钥。 这被称为“旁视validation”,自从根区签署以来,这种方法一直没有被使用,但标准和实施仍然存在。 如果这对你很有意思,那么去看看RFC 5074 。
但一般来说,如果你的父母区域没有签名,那么签署你的签名是没有意义的。
你的目标(启用DNSSEC)是值得赞赏的,但是
你应该试着去寻找为什么.VE不这样做:它可能决定不这样做,或者决定开始它,但仍处于初步阶段。 那么你当然会和你的注册商有同样的问题。
你可以使用自己,并指向他们提供这些资源,应该提供充足的数据和文档: http : //www.internetsociety.org/deploy360/dnssec/
顺便说一句,在https://stats.labs.apnic.net/dnssec我看到,超过10%的parsing器在委内瑞拉做validationDNSSEClogging。 这可以帮助.VE TLD决定启用DNSSEC。