У меня вопрос для начинающих по DNSSEC. У меня большой опыт работы с TLS и криптографией, и я хотел бы опробовать эту новую технологию. Я много гуглил об этом, но не нашел для себя полезной информации. Я думаю, что одна путаница в сборе информации заключается в том, что «Debian howto DNSSEC setup» может означать «Как ИСПОЛЬЗОВАТЬ DNSSEC для разрешения проблем» ИЛИ «Как защитить свой домен с помощью DNSSEC». Ищу вторую.
Я использую сервер Debian Squeeze с привилегиями root, имя домена которого оканчивается на «.de» (которое уже подписано корневой зоной). Сетевой интерфейс на этом сервере использует IP-адрес шлюза (преобразователь DNS?) Центра обработки данных, в котором работает сервер.
Мой домен размещен на freedns.afraid.org, где я могу добавить записи DNS для своего домена. В настоящее время они НЕ могут добавлять записи DNSSEC RR, но я пытаюсь их поддержать в ближайшее время. ;-)
Мой простой вопрос: как мне настроить DNSSEC в Debian? Респ. к кому я прошу?
Насколько я понимаю, все, что мне нужно сделать, это запустить dnssec-keygen на моем сервере Debian, а затем добавьте ключ к моему DNS-провайдеру как DNSSEC RR. (И менять каждые 30 дней?)
Я смотрел на это http://www.isc.org/files/DNSSEC_in_6_minutes.pdf но похоже, что вы должны быть владельцем ЗОНЫ, поэтому я не думаю, что это относится ко мне. Кому нужно подписывать мой домен? Мой DNS-провайдер или моя зона (DeNIC) или я могу это сделать сам?
Любая помощь очень ценится!
Предпосылки: DNSSEC на самом деле представляет собой пару ключей безопасности и несколько записей DNS, которые должны существовать в дополнение к вашим обычным записям DNS. Они проживают в двух местах:
Сами закрытые ключи могут храниться где угодно (или даже удаляться после того, как они использовались для подписи всего, что должно быть подписано), но обычно они также будут находиться где-то на полномочном сервере домена.
Теперь ответ на ваш вопрос зависит от того, как ваш DNS-провайдер будет реализовывать поддержку DNSSEC.
В самом простом (для вас) сценарии всю работу сделает DNS-хостинг (создание ключей KSK и ZSK, публикация DNSKEY записи, подписание и автоматическое удаление файла зоны с RRSIG и NSEC / NSEC3 записи и подготовка DS ключ, который ты отправим вашему регистратору).
(Как вы видите, для этого требуется поддержка не только со стороны вашего DNS-хостинга, но и со стороны вашего регистратора. ICANN поддерживает список регистраторов, поддерживающих DNSSEC)
В этом случае вам останется только скопировать DS ключ, предоставленный вашим DNS-хостингом, и отправьте его своему регистратору (желательно через веб-интерфейс или любым другим способом, который поддерживает ваш регистратор).
P.S. Как видите, весь процесс не имеет ничего общего ни с вашим компьютером (-ами), ни с какой-либо ОС, которую вы запускаете, будь то Debian или Windows, упаси Бог.