Что необходимо для добавления DNSSEC на мой сайт?

Question

Что необходимо для добавления DNSSEC на мой сайт?

Похоже ли это на HTTPS/SSL, что мне нужно купить сертификат, или я могу сам сгенерировать его для использования? Есть ли какой-либо бесплатный способ использовать DNSSEC или я должен заплатить за эту услугу? Например, если я настрою свои собственные DNS-серверы или если есть какие-либо бесплатные серверы имен с DNSSEC.

Если я использую серверы имен своих веб-хостов, я могу купить у них DNSSEC за 9 долларов в год.

5

dns security-certificate free dns-servers

Author: Jonas, 2010-11-03

Source

3 answers

Для обеспечения работы DNSSEC существуют два отдельных элемента.

Создайте ключи и подпишите записи DNS.
Поместите хэш ключа в свою родительскую зону (.se для example.se) с помощью записи DS.

Последнее возможно с .se и растущим числом других ДВУ (см. Развертывание DNSSEC в википедии или подпишитесь на список рассылки dnssec-развертывание).

Что касается части вопроса "Сделай сам": есть довольно несколько способов реализации DNSSEC для вашей зоны. Текущие DNS-серверы уже поставляются с поддержкой DNSSEC, но все же вам необходимо выполнить описанные выше действия. Если вы действительно хотите сделать это самостоятельно, вы можете использовать инструменты привязки (keygen и signzone) или что-то вроде набора opendnssec.

Также есть некоторые провайдеры, которые предлагают DNSSEC в своем портфолио, но обычно вам придется перенести свой домен к ним или использовать что-то вроде DNSSEC посередине. Возможно, вы захотите иметь взгляните на недавно опубликованную Phreebird Каминского, которая находится прямо перед вашим обычным DNS-сервером и выполняет подпись. Я бы рекомендовал exanames, который предназначен для выполнения как можно большей части работы, связанной с DNSSEC, но я предвзят, потому что я один из разработчиков.

3

Author: Kariem, 2010-12-13 00:13:06

Если вы не знаете, что такое DNSSEC, то, вероятно, это к вам не относится. Это то, что люди, управляющие DNS-серверами, должны реализовать. Таким образом, это означает, что ваш веб-хост, ваш интернет-провайдер и интернет-провайдеры ваших пользователей. Если они еще не развернули DNSSEC, то вы мало что можете с этим поделать.

1

Author: Lèse majesté, 2010-11-04 00:23:42

score 1 · Accepted Answer

После еще нескольких исследований я нашел ответ.

DNSSEC защищает от отравления кэша DNS. См. Об ошибке Каминского для получения дополнительной информации.

DNSSEC, по-видимому, является дополнительной услугой, предоставляемой регистраторами. По крайней мере, для .se я ничего не нашел о других топовых доменах.

Из DNSSEC – Путь к защищенному домену:

Сегодня услуга DNSSEC.SE является дополнением, предлагаемым многими регистраторами (т.е. реселлерами доменных имен). Это единственный способ получить безопасный домен, который не может подвергаться атакам, когда ответы на DNS-запросы фальсифицируются. Если вы заинтересованы в защите своего собственного веб-сайта и адреса электронной почты, пожалуйста, обратитесь к своему регистратору за дополнительной информацией. Если вы не уверены, использует ли ваш домен DNSSEC, вы можете легко узнать об этом совершенно бесплатно по адресу http://www.kaminskybug.se/.