Comment supprimer la prise en charge DNSSEC d'un domaine?

8

Une organisation prend en charge DNSSEC pour ses domaines. Ils ont un BIND9 comme serveur de noms faisant autorité qui gère également les clés. Cependant, il a été décidé de supprimer DNSSEC. Est-il suffisant de retirer le matériel clé /var/lib/bind/priet de redémarrer le serveur ou y a-t-il des étapes à suivre pour le faire r?

debian bind dnssec qbi
la source

Réponses:

17

Non, il ne suffit pas de supprimer simplement la configuration localement sur un serveur de noms faisant autorité .

DNSSEC est un système hiérarchique, la chaîne de confiance de DNS empoisonnement du cache .

DNSSEC a été conçu pour protéger Internet contre certaines attaques , telles que l'empoisonnement du cache DNS. Il s'agit d'un ensemble d'extensions au DNS qui fournissent: a) l'authentification d'origine des données DNS, b) l'intégrité des données et c) le déni d'existence authentifié.

Exemple de chaîne de confiance :

  1. La zone elle-même est signée avec la clé privée sur votre serveur de noms faisant autorité principal , par exemple, ns1.example.com.a la clé privée pour signer example.com. Aavec example.com. RRSIG A.
  2. La clé publique de example.com.a été envoyée à et confirmée par l'autorité de com., qui l'a ensuite dans example.com. DS hashet correspondante example.com. RRSID DS, signée avec une clé privée pour.com.

  3. La clé publique de com.a été envoyée à et confirmée par l' autorité racine , qui l'a ensuite dans com. DS hashet correspondante com. RRSID DS, signée avec la clé racine privée, c'est-à-dire la clé pour ., alias Root Zone Trust Anchor :

    La clé de signature de la clé racine agit comme l'ancre de confiance pour DNSSEC pour le système de noms de domaine. Cette ancre de confiance est configurée dans des résolveurs compatibles DNSSEC pour faciliter la validation des données DNS.

Vous pouvez obtenir une belle visualisation de n'importe quel domaine avec DNSViz . Il détecte également les erreurs de configuration.

Par conséquent, l'autorité responsable du TLD doit être contactée, probablement via le bureau d'enregistrement , et informée que DNSSEC doit être désactivé pour le domaine. Ils désactiveront DNSSEC en supprimant l' DSenregistrement de chaînage de leurs serveurs de noms. Sinon, DNSSEC sera toujours activé, ce qui fera que votre serveur de noms faisant autorité sera considéré comme un serveur de noms voyous .

Esa Jokinen
la source
3
Notez que le simple fait de retirer le DS de la zone parent suffira pour faire tomber votre zone dans un état non sécurisé, quel que soit l'enregistrement DNSSEC que vous y conserverez (à ce moment). C'est la première étape à faire; vous voulez attendre au moins le TTL du DS avant de supprimer réellement les enregistrements DNSSEC.
Vladimír Čunát