Назад | Перейти на главную страницу

Требуется ли для DNSSec NSEC3 поддержка со стороны регистратора, DNS-сервера или обоих?

Я заинтересован в поддержке NSEC3 для моего домена getvalid.com, чтобы предотвратить обход имени.

ДИН похоже, не поддерживает NSEC3, и ясно, что BIND и DNS-сервер требуют возможности поддержки NSEC3 ... но я не уверен, имеет ли основной регистратор какое-либо влияние на поддержку NSEC3.

Нужно ли мне что-то делать с регистратором для NSEC3?

В DNSSEC роль корневого и промежуточного серверов имен заключается в обеспечении цепочки доверия до тех пор, пока не будет достигнут авторитетный сервер имен для вашей зоны. Помимо размещения публики DS ключ, связанный с вашей подписанной зоной, они не играют роли в проверке NSEC3.

Для работы NSEC3 вам необходимо подписать свою зону, используя алгоритм, который требует поддержки этой функции. Старые алгоритмы поддерживаются через варианты, содержащие -NSEC3- идентификатор. Решатели не будут пытаться использовать новые функции, если поддержка не объявлена ​​таким образом. Если зона была подписана правильно, все, что вам нужно сделать, это выполнить обычные шаги для получения DS дайджест ключа публикуется на сервере имен непосредственно перед вашим в цепочке делегирования.

Из RFC5155:

Чтобы облегчить развертывание, эта спецификация использует метод сигнализации, чтобы предотвратить попытки распознавателей, не знающих NSEC3, проверять ответы из зон, подписанных NSEC3.

В этой спецификации для этой цели выделяются два новых идентификатора алгоритма DNSKEY. Алгоритм 6, DSA-NSEC3-SHA1 - это псевдоним для алгоритма 3, DSA. Алгоритм 7, RSASHA1-NSEC3-SHA1 - это псевдоним для алгоритма 5, RSASHA1. Это не новые алгоритмы, это дополнительные идентификаторы существующих алгоритмов.

Зоны, подписанные в соответствии с этой спецификацией, ДОЛЖНЫ использовать только эти идентификаторы алгоритмов для своих записей DNSKEY RR. Поскольку эти новые идентификаторы будут неизвестными алгоритмами для существующих резолверов, не поддерживающих NSEC3, эти резолверы будут рассматривать ответы из подписанной зоны NSEC3 как небезопасные, как подробно описано в разделе 5.2 [RFC4035].

Если регистратор разрешает вам добавлять любые действующие DS Запишите, что вы хотите делегировать свою зону, регистратор не будет фактором.

Некоторые вещи, которые может сделать регистратор, которые могут вызвать проблемы:

  • если они не позволяют добавить DS что бы то ни было, у вас просто не может быть подписанного делегирования (с DLV в качестве потенциального обходного пути), проблема не для NSEC3 конкретно, а для DNSSEC в целом

  • если они налагают ограничения на стоимость DS запись (в частности, поле алгоритма), которая может заставить вас использовать алгоритм, предшествующий NSEC3.


Я не сталкивался с ограничениями алгоритмов, но, по крайней мере, теоретически возможно, что кто-то мог иметь устаревший код проверки или что-то в этом роде.