¿Cómo eliminar el soporte DNSSEC de un dominio?

8

Una organización tiene soporte DNSSEC para sus dominios. Tienen un BIND9 como servidor de nombres autorizado que también administra las claves. Sin embargo, se decidió eliminar DNSSEC. ¿Es suficiente eliminar el material clave /var/lib/bind/priy reiniciar el servidor o hay pasos que deberían hacerse para que se r?

qbi
fuente

Respuestas:

17

No, no es suficiente simplemente eliminar la configuración localmente en un servidor de nombres autorizado .

DNSSEC es un sistema jerárquico, cadena de confianza contra el envenenamiento de caché DNS .

DNSSEC fue diseñado para proteger Internet de ciertos ataques , como el envenenamiento de caché de DNS. Es un conjunto de extensiones de DNS, que proporcionan: a) autenticación de origen de datos DNS, b) integridad de datos, yc) denegación de existencia autenticada.

Ejemplo de una cadena de confianza :

  1. La zona en sí está firmado con la clave privada de su servidor de nombres con autoridad primaria , por ejemplo, ns1.example.com.tiene la clave privada para firmar example.com. Acon example.com. RRSIG A.
  2. La clave pública de example.com.ha sido enviada y confirmada por la autoridad para com., que luego la tiene example.com. DS hashy correspondiente example.com. RRSID DS, firmada con clave privada para.com.
  3. La clave pública de com.ha sido enviada y confirmada por la autoridad raíz , que luego la tiene com. DS hashy corresponde com. RRSID DS, firmada con la clave raíz privada, es decir, clave para ., también conocida como Ancla de confianza de la zona raíz :

    La clave de firma de la clave raíz actúa como el ancla de confianza para DNSSEC para el sistema de nombres de dominio. Este ancla de confianza está configurada en resolvers compatibles con DNSSEC para facilitar la validación de datos DNS.

Puede obtener una buena visualización de cualquier dominio con DNSViz . También detecta errores de configuración.

Por lo tanto, se debe contactar a la autoridad responsable del TLD, probablemente a través del registrador , y se le debe informar que DNSSEC debe deshabilitarse para el dominio. Desactivarán DNSSEC eliminando el DSregistro de encadenamiento de sus servidores de nombres. De lo contrario, DNSSEC seguirá habilitado, lo que hará que su servidor de nombres autorizado sea visto como un servidor de nombres falso .

Esa Jokinen
fuente
3
Tenga en cuenta que solo eliminando el DS de la zona principal será suficiente para colocar su zona en un estado inseguro, independientemente del registro DNSSEC que tenga (en ese momento). Ese es el primer paso para hacer; desea esperar al menos TTL del DS antes de eliminar realmente los registros DNSSEC.
Vladimír Čunát