Организация поддерживает DNSSEC для своих доменов. У них есть BIND9 в качестве авторитетного сервера имен, который также управляет ключами. Однако было решено удалить DNSSEC. Достаточно ли удалить ключевой материал в /var/lib/bind/pri и перезапустить сервер, или есть шаги, которые нужно сделать, чтобы его удалить
Нет, недостаточно просто удалить конфигурацию локально на авторитетный сервер имен.
DNSSEC - это иерархическая система, цепь доверия против DNS отравление кеша.
DNSSEC был разработан для защиты Интернета от определенные атаки, например отравление кеша DNS. Это набор расширений DNS, которые обеспечивают: а) аутентификацию источника данных DNS, б) целостность данных и в) аутентифицированное отрицание существования.
Пример Цепь доверия:
ns1.example.com. имеет закрытый ключ для подписания example.com. A с участием example.com. RRSIG A.example.com. был отправлен и подтвержден органом com., который затем находится в example.com. DS hash и соответствующие example.com. RRSID DS, подписано с закрытый ключ для .com.В открытый ключ из com. был отправлен и подтвержден корневой авторитет, который затем находится в com. DS hash и соответствующие com. RRSID DS, подписано с закрытый корневой ключ то есть ключ для ., иначе Якорь доверия корневой зоны:
Ключ подписи корневого ключа действует как якорь доверия для DNSSEC для системы доменных имен. Этот якорь доверия настраивается в распознавателях с поддержкой DNSSEC для облегчения проверки данных DNS.
Вы можете получить красивую визуализацию любого домена с DNSViz. Он также обнаруживает ошибки конфигурации.
Следовательно, необходимо связаться с органом, ответственным за TLD, возможно, через регистратор, и сообщил, что DNSSEC следует отключить для домена. Они отключат DNSSEC, удалив цепочку DS запись со своих серверов имен. В противном случае DNSSEC все равно будет включен, в результате чего ваш полномочный сервер имен будет рассматриваться как мошеннический сервер имен.