如何从域中删除 DNSSEC 支持?

如何从域中删除 DNSSEC 支持?

一个组织为其域提供 DNSSEC 支持。他们运行一个 BIND9 作为权威名称服务器,该服务器还管理密钥。但是他们决定删除 DNSSEC。删除密钥材料/var/lib/bind/pri并重新启动服务器是否足够,或者是否应该采取一些步骤来删除它

答案1

不,仅仅在本地删除配置是不够的权威名称服务器

DNSSEC 是一个分层系统,信任链反对DNS缓存中毒

DNSSEC旨在保护互联网免受某些攻击,例如 DNS 缓存中毒。它是 DNS 的一组扩展,提供:a) DNS 数据的来源认证、b) 数据完整性和 c) 经过认证的拒绝存在性。

示例信任链

  1. 区域本身已签署私钥在你的主要权威名称服务器ns1.example.com.例如私钥example.com. A用于签名example.com. RRSIG A

  2. 公钥example.com.发送并由主管部门确认com.,然后由其example.com. DS hash签署example.com. RRSID DS私钥为了.com.

  3. 公钥com.发送并确认根权限,然后将其保存在com. DS hash相应的位置com. RRSID DS,并签名为私钥根密钥即 键为.,又名根区信任锚

    根密钥签名密钥充当域名系统 DNSSEC 的信任锚。此信任锚在 DNSSEC 感知解析器中配置,以方便验证 DNS 数据。

你可以使用以下方式获得任何域的良好可视化效果DNSViz. 它还可以检测配置错误。

因此,必须联系该顶级域名的负责机构,可能通过注册员,并告知应为该域禁用 DNSSEC。他们将通过DS从其名称服务器中删除链接记录来禁用 DNSSEC。否则 DNSSEC 仍将处于启用状态,导致您的权威名称服务器被视为恶意域名服务器

相关内容