Что делать, чтобы применить DNSSEC для своего домена?
Что делать, чтобы применить DNSSEC для своего домена?
Регистранты доменов .ee могут передать свои DNSSEC-ключи в регистр целевого учреждения через поставщиков услуги регистрации домена (регистраторов), а интернет-пользователи – убедиться в правильности доменов .ee, уже защищенных DNSSEC.
Поставщик услуг
Самый простой способ защитить свой домен с помощью DNSSEC – воспользоваться для этого помощью своего регистратора или поставщика услуги DNS-сервера. Обзор того, какие регистраторы предлагают своим клиентам услугу DNSSEC, можно найти на странице internet.ee, в сравнительной таблице аккредитованных регистраторов .ee.
Перед тем как выбрать поставщика услуг, следует проверить каким образом в этой организации организовано управление ключами DNSSEC – как хранятся и защищаются секретные ключи, меняются ли они и как часто, а также какие влекут за собой расходы для владельца домена. Распространенной практикой среди поставщиков услуг является оглашение DPS (DNSSEC Practice Statement) для своего DNSSEC-решения, где описываются используемые на этом предприятии процедуры и правила, связанные с DNSSEC. Только когда все эти данные вас полностью устраивают, можно «ударить по рукам» с этим поставщиком услуг.
NB! Надежность DNSSEC зависит от того, насколько хорошо защищены секретные ключи DNSSEC в каждом звене цепи DNSSEC.
Установить и настроить DNSSEC самостоятельно
Для использования DNSSEC владельцу домена следует настроить свой DNS-сервер так, чтобы он поддерживал DNSSEC, создать необходимые ключи, подписать свой домен и отправить открытый ключ (открытая часть ключевой пары KSK) в регистр целевого учреждения через своего регистратора.
Информацию о том, как настроить DNSSEC на базе разных решений DNS-сервера, можно найти на веб-странице издателя соответствующего программного обеспечения. Например:
- https://www.isc.org/downloads/bind/dnssec
- http://www.yadifa.eu/download
- https://www.powerdns.com/dnssec.html
Существуют и специальные решения для управления DNSSEC. Одним из них является OpenDNSSEC, информацию о котором можно найти здесь:
Ниже приведена общая схема действий, необходимых для использования DNSSEC:
1. Настройте DNS-сервер и создайте файлы зоны (BIND, NSD, PowerDNS и пр.)
Не нужно отдельно создавать DNS-сервер для DNSSEC, для этого можно использовать уже работающее решение. Единственным условием является наличие поддержки DNSSEC.
На сегодняшний день DNSSEC поддерживают все наиболее распространенные DNS-серверы. Общую инструкцию для настройки DNS-сервера можно найти по адресу
http://kuutorvaja.eenet.ee/wiki/Nimeserveri_t%C3%B6%C3%B6leseadmine
2. Настройте поддержку DNSSEC на сервере
После обычной настройки DNS-сервера необходимо активировать поддержку DNSSEC. Точные параметры настройки зависят от выбранного DNS-сервера.Параметры настройки DNS-сервера BIND можно найти в главе 4.8 (стр. 20) справочника BIND:
https://kb.isc.org/getAttach/82/AA-00845/Bv9ARM-9.9.4.pdf
3. Создайте ключи DNSSEC
Затем следует создать ключи, которыми подписываются записи, существующие в зоне. На DNS-сервере BIND для этого есть приложение dnssec-keygen, которое создает открытый и закрытый ключи.
4. Подпишите файлы зоны
После создания ключей следует подписать файлы зоны. На DNS-сервере BIND для этого можно использовать приложение dnssec-signzone, которое создает подписанные файлы зоны.