Что необходимо для добавления DNSSEC на мой сайт?
Что необходимо для добавления DNSSEC на мой сайт?
Похоже ли это на HTTPS/SSL, что мне нужно купить сертификат, или я могу сам сгенерировать его для использования? Есть ли какой-либо бесплатный способ использовать DNSSEC или я должен заплатить за эту услугу? Например, если я настрою свои собственные DNS-серверы или если есть какие-либо бесплатные серверы имен с DNSSEC.
Если я использую серверы имен своих веб-хостов, я могу купить у них DNSSEC за 9 долларов в год.
3 answers
Для обеспечения работы DNSSEC существуют два отдельных элемента.
- Создайте ключи и подпишите записи DNS.
- Поместите хэш ключа в свою родительскую зону (
.se
дляexample.se
) с помощью записи DS.
Последнее возможно с .se и растущим числом других ДВУ (см. Развертывание DNSSEC в википедии или подпишитесь на список рассылки dnssec-развертывание).
Что касается части вопроса "Сделай сам": есть довольно несколько способов реализации DNSSEC для вашей зоны. Текущие DNS-серверы уже поставляются с поддержкой DNSSEC, но все же вам необходимо выполнить описанные выше действия. Если вы действительно хотите сделать это самостоятельно, вы можете использовать инструменты привязки (keygen и signzone) или что-то вроде набора opendnssec.
Также есть некоторые провайдеры, которые предлагают DNSSEC в своем портфолио, но обычно вам придется перенести свой домен к ним или использовать что-то вроде DNSSEC посередине. Возможно, вы захотите иметь взгляните на недавно опубликованную Phreebird Каминского, которая находится прямо перед вашим обычным DNS-сервером и выполняет подпись. Я бы рекомендовал exanames, который предназначен для выполнения как можно большей части работы, связанной с DNSSEC, но я предвзят, потому что я один из разработчиков.
Если вы не знаете, что такое DNSSEC, то, вероятно, это к вам не относится. Это то, что люди, управляющие DNS-серверами, должны реализовать. Таким образом, это означает, что ваш веб-хост, ваш интернет-провайдер и интернет-провайдеры ваших пользователей. Если они еще не развернули DNSSEC, то вы мало что можете с этим поделать.
После еще нескольких исследований я нашел ответ.
DNSSEC защищает от отравления кэша DNS. См. Об ошибке Каминского для получения дополнительной информации.
DNSSEC, по-видимому, является дополнительной услугой, предоставляемой регистраторами. По крайней мере, для .se я ничего не нашел о других топовых доменах.
Из DNSSEC – Путь к защищенному домену:
Сегодня услуга DNSSEC.SE является дополнением, предлагаемым многими регистраторами (т.е. реселлерами доменных имен). Это единственный способ получить безопасный домен, который не может подвергаться атакам, когда ответы на DNS-запросы фальсифицируются. Если вы заинтересованы в защите своего собственного веб-сайта и адреса электронной почты, пожалуйста, обратитесь к своему регистратору за дополнительной информацией. Если вы не уверены, использует ли ваш домен DNSSEC, вы можете легко узнать об этом совершенно бесплатно по адресу http://www.kaminskybug.se/.