Một tổ chức có hỗ trợ DNSSEC cho các lĩnh vực của họ. Họ có BIND9 là máy chủ tên có thẩm quyền đang chạy cũng quản lý các khóa. Tuy nhiên, nó đã được quyết định loại bỏ DNSSEC. Có đủ để loại bỏ tài liệu chính trong /var/lib/bind/privà khởi động lại máy chủ không hoặc có các bước cần thực hiện để có nó không?
Câu trả lời:
Không, việc loại bỏ cấu hình cục bộ trên một máy chủ tên có thẩm quyền là không đủ .
DNSSEC là một hệ thống phân cấp, chuỗi tin cậy chống lại ngộ độc bộ đệm DNS .
DNSSEC được thiết kế để bảo vệ Internet khỏi các cuộc tấn công nhất định , chẳng hạn như ngộ độc bộ đệm DNS. Nó là một tập hợp các phần mở rộng cho DNS, cung cấp: a) xác thực nguồn gốc của dữ liệu DNS, b) tính toàn vẹn dữ liệu và c) từ chối xác thực tồn tại.
Ví dụ về Chuỗi tin cậy :
ns1.example.com.có khóa riêng để ký example.com. Avới example.com. RRSIG A.example.com.đã được gửi đến và được xác nhận bởi cơ quan có thẩm quyền com., sau đó có khóa đó example.com. DS hashvà tương ứng example.com. RRSID DS, được ký bằng khóa riêng cho.com.Khóa công khai của com.đã được gửi đến và được xác nhận bởi chính quyền gốc , sau đó có khóa đó com. DS hashvà tương ứng com. RRSID DS, được ký bằng khóa gốc tức là khóa cho ., còn gọi là Root Trust Trust Anchor :
Khóa ký hiệu khóa gốc đóng vai trò là mỏ neo tin cậy cho DNSSEC cho Hệ thống tên miền. Neo tin cậy này được cấu hình trong các trình phân giải nhận biết DNSSEC để tạo điều kiện xác thực dữ liệu DNS.
Bạn có thể có được một hình ảnh đẹp của bất kỳ tên miền nào với DNSViz . Nó cũng phát hiện lỗi cấu hình.
Do đó, cơ quan chịu trách nhiệm về TLD phải được liên hệ, có thể thông qua nhà đăng ký và thông báo rằng DNSSEC nên bị vô hiệu hóa cho tên miền. Họ sẽ vô hiệu hóa DNSSEC bằng cách xóa DSbản ghi chuỗi khỏi máy chủ tên của họ. Nếu không, DNSSEC vẫn sẽ được bật, khiến máy chủ tên có thẩm quyền của bạn bị coi là máy chủ tên lừa đảo .