一个组织为其域提供 DNSSEC 支持。他们运行一个 BIND9 作为权威名称服务器,该服务器还管理密钥。但是他们决定删除 DNSSEC。删除密钥材料/var/lib/bind/pri
并重新启动服务器是否足够,或者是否应该采取一些步骤来删除它
答案1
不,仅仅在本地删除配置是不够的权威名称服务器。
DNSSEC 是一个分层系统,信任链反对DNS缓存中毒。
DNSSEC旨在保护互联网免受某些攻击,例如 DNS 缓存中毒。它是 DNS 的一组扩展,提供:a) DNS 数据的来源认证、b) 数据完整性和 c) 经过认证的拒绝存在性。
示例信任链:
区域本身已签署私钥在你的主要权威名称服务器,
ns1.example.com.
例如私钥example.com. A
用于签名example.com. RRSIG A
。这公钥已
example.com.
发送并由主管部门确认com.
,然后由其example.com. DS hash
签署example.com. RRSID DS
私钥为了.com.
这公钥已
com.
发送并确认根权限,然后将其保存在com. DS hash
相应的位置com. RRSID DS
,并签名为私钥根密钥即 键为.
,又名根区信任锚:根密钥签名密钥充当域名系统 DNSSEC 的信任锚。此信任锚在 DNSSEC 感知解析器中配置,以方便验证 DNS 数据。
你可以使用以下方式获得任何域的良好可视化效果DNSViz. 它还可以检测配置错误。
因此,必须联系该顶级域名的负责机构,可能通过注册员,并告知应为该域禁用 DNSSEC。他们将通过DS
从其名称服务器中删除链接记录来禁用 DNSSEC。否则 DNSSEC 仍将处于启用状态,导致您的权威名称服务器被视为恶意域名服务器。