即使子域名是TLD,DNSSEC也不能保证可能存在的安全问题是什么?

我们正在运行一个运行BIND9服务器(以及许多其他服务)的稳定networking。 我正在学习并尝试重新组织旧的configuration文件以符合当前的要求(许多死机,未使用的名称,反向映射等等)。

同时,我很乐意遵循最佳做法,并通过DNSSEC保护DNS。 在检查configuration时,我偶然发现我们使用的TLD没有使用DNSSEC进行保护。

我的问题: 如果楼上的(在超级域名中)没有人这样做,那么有什么要说的吗(我敢打赌)在保护我们的DNS与DNSSEC?

我们的区域/域名空间在我们的大学领域,正下方ve. 空间(委内瑞拉TLD)。 就是说,像example.university.ve. 我们大学的DNS都没有保证。

如果我们应该确保我们的子域名,我仍然想知道如果有攻击者出现,那么不安全的TLD会造成什么样的问题。

PS:我使用的工具如http://dnsviz.net/和https://dnssec-debugger.verisignlabs.com/来检查DNSSEC confs。

DNSSEC的安全性来自一个encryptionvalidation的授权链,从一些给定的数据(如一组Alogging)到一个已知和可信的公钥(称为“信任锚”)。 对于今天的DNSSEC,通常使用的信任锚是根区密钥 。 如果您的父区域未签名,则从您的区域到根区域的连锁断开,并且DNSSEC的安全保证完全失败。 签署你的区域并不重要,因为没有人有理由相信你用来签署的密钥。 就像你可以创build一个密钥并在其中签名一样,一个坏人可以创build一个密钥,并用这个密钥签名你的(可能稍微修改的)数据。 如果没有与信任锚链接的签名链,第三方就无法知道他们是否应该信任你的密钥或坏人的密钥。

现在,如果您希望某些特定的其他人能够信任您的签名,则可以为他们提供一个可以用作您的域的信任锚的密钥。 这被称为“旁视validation”,自从根区签署以来,这种方法一直没有被使用,但标准和实施仍然存在。 如果这对你很有意思,那么去看看RFC 5074 。

但一般来说,如果你的父母区域没有签名,那么签署你的签名是没有意义的。

你的目标(启用DNSSEC)是值得赞赏的,但是

  • 正确做DNSSEC是很多工作; 甚至更多,因为它不是oneshot,你需要保持它(旋转键等),并监控它
  • 既然你写了很多其他的问题,我会build议先清理一切,并在开始新的项目之前,有一个好的区域运行几个星期/几个月,如启用DNSSEC
  • 就像Calle所说的那样,实际上.VE似乎完全没有关于DNSSEC的地图,没有DNSSEC在所有级别(因为现在你不能再使用DLV了,就像我在我的评论中所说的那样),把它加到你的区

你应该试着去寻找为什么.VE不这样做:它可能决定不这样做,或者决定开始它,但仍处于初步阶段。 那么你当然会和你的注册商​​有同样的问题。

你可以使用自己,并指向他们提供这些资源,应该提供充足的数据和文档: http : //www.internetsociety.org/deploy360/dnssec/

顺便说一句,在https://stats.labs.apnic.net/dnssec我看到,超过10%的parsing器在委内瑞拉做validationDNSSEClogging。 这可以帮助.VE TLD决定启用DNSSEC。