2. Зачем DNSSEC
• Цепочка доверия для записей от
корневой зоны.
• Предотвращение атаки «мужик
посерёдке»
• Вкусняшки: RR CERT, RR SSHFP, DANE
3. Принцип работы DNSSEC
• Ключи ZSK и KSK задаются в записях
типа DNSKEY зоны
• Все наборы записей зоны
подписываются ZSK (записи RRSIG)
• Набор записей DNSKEY
подписываются в том числе KSK
• Хэш KSK передаётся родителю (запись
DS)
4. Сложности внедрения
• План ротации ключей и времён
обновления подписи
• Стыковка с регистратором
• Проверка зоны и отзыв подписи
• Действия с DNSSEC должны быть
аккуратными и постоянно
контролироваться
5. Сложности DNSSEC
• Смена NS
• Имеется тяжкое наследие. Путаница в
документации.
• Файл hosts и клиентское ПО
• Метод блокировки сайтов через DNS….
6. DANE
• Реализует цепочку доверия для
сертификата, подтверждая его
доменное имя.
• Позволяет массово ввести HTTPS
• Браузеры пока нет, exim – в разработке.
• RFC 6698
7. Поддержка DNSSEC
• Google Public DNS
• Регистратор GoDaddy
• Регистратор Directi НЕ поддерживает
• RU/SU/РФ подписаны
• Из наших регистраторов –
пользователи «виртуального
регистратора», частично RU-CENTER