web-dev-qa-db-ja.com

Debian DNSSEC-ドメインを保護する方法は?

DNSSECについて初心者の質問があります。私はTLSや暗号化などの経験が豊富で、この新しいテクノロジーを試してみたいと思います。私はこれについて非常にグーグルで検索しましたが、私にとって有用な情報を見つけられませんでした。情報収集の混乱の1つは、「DebianハウツーDNSSECセットアップ」が「DNSSECを使用して解決する方法」を意味する可能性があることだと思いますOR「DNSSECでドメインを保護する方法」。2番目を検索しています。

ドメイン名が「.de」で終わるroot権限でDebianSqueezeサーバーを実行しています(これはすでにrootゾーンによって署名されています)。このサーバーのネットワークインターフェイスは、サーバーが実行されているデータセンターのゲートウェイIP(DNSリゾルバー?)を使用します。

私のドメインはfreedns.afraid.orgでホストされており、ドメインのDNSRRを追加できます。現在、DNSSEC RRを追加することはできませんが、すぐにサポートするようにバグを報告しています。 ;-)

私の簡単な質問は、DebianでDNSSECを設定するにはどうすればよいですか?それぞれ誰に頼んだの?

私が理解している限り、私がしなければならないのは、Debianサーバーでdnssec-keygenを実行してから、DNSプロバイダーにDNSSECRRとしてキーを追加することだけです。 (そして30日ごとに変更しますか?)

私はこれを見ました http://www.isc.org/files/DNSSEC_in_6_minutes.pdf しかし、あなたはZONEの所有者でなければならないようですので、これは当てはまらないと思います私。誰が私のドメインに署名する必要がありますか? DNSプロバイダーまたはゾーン(DeNIC)ですか、それとも自分で実行できますか?

どんな助けでも大歓迎です!

6

背景:実際のDNSSECは、通常のDNSレコードに加えて存在する必要があるいくつかのセキュリティキーといくつかのDNSレコードです。それらは2つの場所にあります:

  1. ドメインの権限のあるDNSサーバー。これは、[〜#〜] dnskey [〜#〜][〜#〜] rrsig [〜 #〜]およびNSEC/NSEC3レコード。
  2. parentドメイン(example.comの「com」ドメイン)の権限のあるDNSサーバー。これは[〜#〜] ds [〜#〜]レコードを保持します。

秘密鍵自体は実際にはどこにでも保存できます(または、署名が必要なものすべてに署名した後で削除することもできます)が、通常はドメイン権限のあるサーバーのどこかに存在します。

さて、あなたの質問への答えは、DNSプロバイダーがDNSSECサポートをどのように実装するかによって異なります。

最も単純な(あなたにとって)シナリオでは、DNSホスティングがすべての作業を行います(KSKおよびZSKキーの作成、公開[〜#〜] dnskey [〜#〜][〜#〜] rrsig [〜#〜]およびを使用してゾーンファイルを記録、署名、および自動的に再署名しますNSEC/NSEC3レコード、および準備[〜#〜] ds [〜#〜]youがレジストラに送信するキー。

(ご覧のとおり、DNSホスティングだけでなく、レジストラからのサポートも必要です。ICANNは DNSSECをサポートするレジストラのリスト を維持しています。

この場合、DNSホスティングによって提供された[〜#〜] ds [〜#〜]キーをコピーして、レジストラに送信するだけで済みます。 (できれば、Webインターフェイスを介して、またはレジストラがサポートするその他の手段を介して)。

P.S.ご覧のとおり、プロセス全体は、コンピュータや実行しているOSとは何の関係もありません。それは、DebianであろうとWindowsであろうと、天国では禁じられています。

8
Sandman4