Bagaimana cara menghapus dukungan DNSSEC dari domain?

8

Organisasi memiliki dukungan DNSSEC untuk domainnya. Mereka memiliki BIND9 sebagai menjalankan server nama otoritatif yang juga mengelola kunci. Namun diputuskan untuk menghapus DNSSEC. Apakah cukup untuk menghapus materi kunci di /var/lib/bind/pridan untuk me-restart server atau ada langkah-langkah yang harus dilakukan untuk memilikinya r? Emoved

qbi
sumber

Jawaban:

17

Tidak, tidak cukup hanya menghapus konfigurasi secara lokal di server nama otoritatif .

DNSSEC adalah sistem hierarkis, rantai kepercayaan terhadap keracunan cache DNS .

DNSSEC dirancang untuk melindungi Internet dari serangan tertentu , seperti keracunan cache DNS. Ini adalah serangkaian ekstensi ke DNS, yang menyediakan: a) otentikasi asal data DNS, b) integritas data, dan c) penolakan keberadaan yang diotentikasi.

Contoh Rantai Kepercayaan :

  1. Zona itu sendiri ditandatangani dengan kunci pribadi pada Anda nama otoritatif utama Server , misalnya ns1.example.com.memiliki kunci pribadi untuk menandatangani example.com. Adengan example.com. RRSIG A.
  2. The kunci publik dari example.com.telah dikirim ke dan dikonfirmasi oleh otoritas untuk com., yang kemudian memiliki dalam example.com. DS hashdan sesuai example.com. RRSID DS, ditandatangani dengan kunci pribadi untuk.com.
  3. The kunci publik dari com.telah dikirim ke dan dikonfirmasi oleh otoritas root , yang kemudian memiliki dalam com. DS hashdan sesuai com. RRSID DS, ditandatangani dengan kunci root privat key yaitu untuk ., alias Akar Zona Kepercayaan Jangkar :

    Kunci Penandatanganan Kunci Akar bertindak sebagai jangkar kepercayaan untuk DNSSEC untuk Sistem Nama Domain. Jangkar kepercayaan ini dikonfigurasikan dalam resolver yang sadar DNSSEC untuk memfasilitasi validasi data DNS.

Anda bisa mendapatkan visualisasi domain yang bagus dengan DNSViz . Ini juga mendeteksi kesalahan konfigurasi.

Oleh karena itu, otoritas yang bertanggung jawab atas TLD harus dihubungi, mungkin melalui registrar , dan diinformasikan bahwa DNSSEC harus dinonaktifkan untuk domain. Mereka akan menonaktifkan DNSSEC dengan menghapus DScatatan rantai dari server nama mereka. Jika tidak, DNSSEC masih akan diaktifkan, menyebabkan server nama Anda yang otoritatif dilihat sebagai server nama jahat .

Esa Jokinen
sumber
3
Perhatikan bahwa hanya menghapus DS dari zona induk akan cukup untuk menjatuhkan zona Anda ke status tidak aman, terlepas dari catatan DNSSEC apa pun yang Anda simpan di dalamnya (pada saat itu). Itu langkah pertama yang harus dilakukan; Anda ingin menunggu setidaknya untuk TTL dari DS sebelum benar-benar menghapus catatan DNSSEC.
Vladimír Čunát