SlideShare a Scribd company logo

DNSSEC

Download as PPT, PDF
Philipp Kulin
Philipp Kulin

Линуксовка. Январь 2013

1 of 13
DNSSEC Филипп Кулин, schors@gmail.com 30.01.2013
Зачем DNSSEC • Цепочка доверия для записей от корневой зоны. • Предотвращение атаки «мужик посерёдке» • Вкусняшки: RR CERT, RR SSHFP, DANE
Принцип работы DNSSEC • Ключи ZSK и KSK задаются в записях типа DNSKEY • Все наборы записей зоны подписываются ZSK (записи RRSIG) • Набор записей DNSKEY подписываются в том числе KSK • Хэш KSK передаётся родителю (запись DS)
NSEC и NSEC3 Защита от подделки отрицательного ответа (домена не существует). В отрицательном ответе выдаётся NSEС запись для следующего домена. NSEC3 – для хэшированного имени следующего домена.
Алоритмы • Традиционный RSASHA1 и SHA1 • Новые RSASHA256 и SHA256 • Алиасы традиционных для поддержки NSEC3 – RSANSEC3SHA1 • Алгоритмы ГОСТ (не поддерживают хэш NSEC3)
Границы времени DNSSEC • Максимальное TTL зоны • Время действия подписи в RRSIG • TTL должно быть частью времени действия подписи • Действия с DNSSEC должны быть аккуратно расписаны по временным меткам
Ротация ключей • Для смены ZSK обычно публикуют новый ZSK заранее. • Для смены KSK публикуют новый KSK и подписывают новым и старым одновременно.
Настройка и ПО • Ldns http://www.nlnetlabs.nl/projects/ldns/ • BIND (лучше сразу 9.9) • DNSSEC-Tools (на основе BIND Tools) https://www.dnssec-tools.org • Алгоритмы ГОСТ
Практика эксплуатации RFC 6781
Сложности DNSSEC • Смена NS. Легче через промежуточные ключи. • Имеется тяжкое наследие. Путаница в документации. • Файл hosts • Метод блокировки сайтов через DNS….
DANE • Реализует цепочку доверия для сертификата, подтверждая его доменное имя. • Запись TLSA: _443._tcp.example.com. IN TLSA ( 3 0 0 30820307308201efa003020102020... ) • Браузеры пока нет, exim – в разработке. • RFC 6698
Поддержка DNSSEC • Google Public DNS при явном указании бита DO • Регистратор GoDaddy • Регистратор Directi НЕ поддерживает • RU/SU/РФ подписаны • Из наших регистраторов – пользователи «виртуального регистратора», частично RU-CENTER
ВОПРОСЫ? Филипп Кулин schors@gmail.com

Recommended

Опыт внедрения DNSSEC
Опыт внедрения DNSSECОпыт внедрения DNSSEC
Опыт внедрения DNSSECPhilipp Kulin
 
Dnssec in UA - Talk at UAdom 2011
Dnssec in UA - Talk at UAdom 2011Dnssec in UA - Talk at UAdom 2011
Dnssec in UA - Talk at UAdom 2011Dmitry Kohmanyuk
 
Дмитрий Перлов openSUSE Build Server: tips & tricks кросс-дистрибутивной сб...
Дмитрий Перлов openSUSE Build Server: tips & tricks кросс-дистрибутивной сб...Дмитрий Перлов openSUSE Build Server: tips & tricks кросс-дистрибутивной сб...
Дмитрий Перлов openSUSE Build Server: tips & tricks кросс-дистрибутивной сб...Minsk Linux User Group
 
Снижение нагрузки на сервер с помощью NGINX
Снижение нагрузки на сервер с помощью NGINXСнижение нагрузки на сервер с помощью NGINX
Снижение нагрузки на сервер с помощью NGINXAndrii Podanenko
 
Flexireg
FlexiregFlexireg
FlexiregFAITID
 
Владислав Животнев - Основы DNS
Владислав Животнев - Основы DNSВладислав Животнев - Основы DNS
Владислав Животнев - Основы DNSYandex
 
Стажировка 2016-08-04 01 Денис Нелюбин. Шифрование и безопасность
Стажировка 2016-08-04 01 Денис Нелюбин. Шифрование и безопасностьСтажировка 2016-08-04 01 Денис Нелюбин. Шифрование и безопасность
Стажировка 2016-08-04 01 Денис Нелюбин. Шифрование и безопасностьSmartTools
 
Tyurin Alexey - NTLM. Part 1. Pass-the-Hash
Tyurin Alexey - NTLM. Part 1. Pass-the-HashTyurin Alexey - NTLM. Part 1. Pass-the-Hash
Tyurin Alexey - NTLM. Part 1. Pass-the-HashDefconRussia
 

Recommended

Опыт внедрения DNSSEC
Опыт внедрения DNSSECОпыт внедрения DNSSEC
Опыт внедрения DNSSECPhilipp Kulin
 
Dnssec in UA - Talk at UAdom 2011
Dnssec in UA - Talk at UAdom 2011Dnssec in UA - Talk at UAdom 2011
Dnssec in UA - Talk at UAdom 2011Dmitry Kohmanyuk
 
Дмитрий Перлов openSUSE Build Server: tips & tricks кросс-дистрибутивной сб...
Дмитрий Перлов openSUSE Build Server: tips & tricks кросс-дистрибутивной сб...Дмитрий Перлов openSUSE Build Server: tips & tricks кросс-дистрибутивной сб...
Дмитрий Перлов openSUSE Build Server: tips & tricks кросс-дистрибутивной сб...Minsk Linux User Group
 
Снижение нагрузки на сервер с помощью NGINX
Снижение нагрузки на сервер с помощью NGINXСнижение нагрузки на сервер с помощью NGINX
Снижение нагрузки на сервер с помощью NGINXAndrii Podanenko
 
Flexireg
FlexiregFlexireg
FlexiregFAITID
 
Владислав Животнев - Основы DNS
Владислав Животнев - Основы DNSВладислав Животнев - Основы DNS
Владислав Животнев - Основы DNSYandex
 
Стажировка 2016-08-04 01 Денис Нелюбин. Шифрование и безопасность
Стажировка 2016-08-04 01 Денис Нелюбин. Шифрование и безопасностьСтажировка 2016-08-04 01 Денис Нелюбин. Шифрование и безопасность
Стажировка 2016-08-04 01 Денис Нелюбин. Шифрование и безопасностьSmartTools
 
Tyurin Alexey - NTLM. Part 1. Pass-the-Hash
Tyurin Alexey - NTLM. Part 1. Pass-the-HashTyurin Alexey - NTLM. Part 1. Pass-the-Hash
Tyurin Alexey - NTLM. Part 1. Pass-the-HashDefconRussia
 
Apache cassandra (rus)
Apache cassandra (rus)Apache cassandra (rus)
Apache cassandra (rus)Dmitriy Gutman
 
Lyamin press2015
Lyamin press2015Lyamin press2015
Lyamin press2015Alexander Lyamin
 
A popular DNS security overview. Modern theory and practice
A popular DNS security overview. Modern theory and practiceA popular DNS security overview. Modern theory and practice
A popular DNS security overview. Modern theory and practicePhilipp Kulin
 
Tarantool
TarantoolTarantool
Tarantooldashazhirenok
 
Разработка высокопроизводительных серверных приложений для Linux/Unix (Алекса...
Разработка высокопроизводительных серверных приложений для Linux/Unix (Алекса...Разработка высокопроизводительных серверных приложений для Linux/Unix (Алекса...
Разработка высокопроизводительных серверных приложений для Linux/Unix (Алекса...Ontico
 
Класс!ная Cassandra
Класс!ная CassandraКласс!ная Cassandra
Класс!ная Cassandraodnoklassniki.ru
 
Технические аспекты блокировки интернета в России. Проблемы и перспективы
Технические аспекты блокировки интернета в России. Проблемы и перспективыТехнические аспекты блокировки интернета в России. Проблемы и перспективы
Технические аспекты блокировки интернета в России. Проблемы и перспективыPhilipp Kulin
 
HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6Technopark
 
Вячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSВячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSYandex
 
Что надо знать о HTTP/2 Frontend разработчику
Что надо знать о HTTP/2 Frontend разработчикуЧто надо знать о HTTP/2 Frontend разработчику
Что надо знать о HTTP/2 Frontend разработчикуАлександр Майоров
 
A popular DNS security overview
A popular DNS security overviewA popular DNS security overview
A popular DNS security overviewPhilipp Kulin
 
Web весна 2013 лекция 3
Web весна 2013 лекция 3Web весна 2013 лекция 3
Web весна 2013 лекция 3Technopark
 
Антон Карпов - Сетевая безопасность
Антон Карпов - Сетевая безопасность Антон Карпов - Сетевая безопасность
Антон Карпов - Сетевая безопасностьYandex
 
Защита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.org
Защита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.orgЗащита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.org
Защита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.orgIT61
 
HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2Technopark
 
Web осень 2012 лекция 3
Web осень 2012 лекция 3Web осень 2012 лекция 3
Web осень 2012 лекция 3Technopark
 
HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5Technopark
 
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯDDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯStormWall.pro
 
05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколы05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколыRoman Brovko
 
Блокчейн, консенсус - как и зачем? #spblockchain
Блокчейн, консенсус - как и зачем? #spblockchainБлокчейн, консенсус - как и зачем? #spblockchain
Блокчейн, консенсус - как и зачем? #spblockchainДмитрий Плахов
 
Криптография
КриптографияКриптография
КриптографияValentin Gostyuzhov
 
DNS
DNSDNS
DNSДмитрий Тихонов
 

More Related Content

What's hot

Apache cassandra (rus)
Apache cassandra (rus)Apache cassandra (rus)
Apache cassandra (rus)Dmitriy Gutman
 
A popular DNS security overview. Modern theory and practice
A popular DNS security overview. Modern theory and practiceA popular DNS security overview. Modern theory and practice
A popular DNS security overview. Modern theory and practicePhilipp Kulin
 
Разработка высокопроизводительных серверных приложений для Linux/Unix (Алекса...
Разработка высокопроизводительных серверных приложений для Linux/Unix (Алекса...Разработка высокопроизводительных серверных приложений для Linux/Unix (Алекса...
Разработка высокопроизводительных серверных приложений для Linux/Unix (Алекса...Ontico
 
Класс!ная Cassandra
Класс!ная CassandraКласс!ная Cassandra
Класс!ная Cassandraodnoklassniki.ru
 
Технические аспекты блокировки интернета в России. Проблемы и перспективы
Технические аспекты блокировки интернета в России. Проблемы и перспективыТехнические аспекты блокировки интернета в России. Проблемы и перспективы
Технические аспекты блокировки интернета в России. Проблемы и перспективыPhilipp Kulin
 
HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6Technopark
 
Вячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSВячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSYandex
 
Что надо знать о HTTP/2 Frontend разработчику
Что надо знать о HTTP/2 Frontend разработчикуЧто надо знать о HTTP/2 Frontend разработчику
Что надо знать о HTTP/2 Frontend разработчикуАлександр Майоров
 
A popular DNS security overview
A popular DNS security overviewA popular DNS security overview
A popular DNS security overviewPhilipp Kulin
 
Web весна 2013 лекция 3
Web весна 2013 лекция 3Web весна 2013 лекция 3
Web весна 2013 лекция 3Technopark
 
Антон Карпов - Сетевая безопасность
Антон Карпов - Сетевая безопасность Антон Карпов - Сетевая безопасность
Антон Карпов - Сетевая безопасностьYandex
 
Защита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.org
Защита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.orgЗащита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.org
Защита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.orgIT61
 
HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2Technopark
 
Web осень 2012 лекция 3
Web осень 2012 лекция 3Web осень 2012 лекция 3
Web осень 2012 лекция 3Technopark
 
HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5Technopark
 
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯDDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯStormWall.pro
 
05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколы05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколыRoman Brovko
 
Блокчейн, консенсус - как и зачем? #spblockchain
Блокчейн, консенсус - как и зачем? #spblockchainБлокчейн, консенсус - как и зачем? #spblockchain
Блокчейн, консенсус - как и зачем? #spblockchainДмитрий Плахов
 

What's hot (20)

Apache cassandra (rus)
Apache cassandra (rus)Apache cassandra (rus)
Apache cassandra (rus)
 
Lyamin press2015
Lyamin press2015Lyamin press2015
Lyamin press2015
 
A popular DNS security overview. Modern theory and practice
A popular DNS security overview. Modern theory and practiceA popular DNS security overview. Modern theory and practice
A popular DNS security overview. Modern theory and practice
 
Tarantool
TarantoolTarantool
Tarantool
 
Разработка высокопроизводительных серверных приложений для Linux/Unix (Алекса...
Разработка высокопроизводительных серверных приложений для Linux/Unix (Алекса...Разработка высокопроизводительных серверных приложений для Linux/Unix (Алекса...
Разработка высокопроизводительных серверных приложений для Linux/Unix (Алекса...
 
Класс!ная Cassandra
Класс!ная CassandraКласс!ная Cassandra
Класс!ная Cassandra
 
Технические аспекты блокировки интернета в России. Проблемы и перспективы
Технические аспекты блокировки интернета в России. Проблемы и перспективыТехнические аспекты блокировки интернета в России. Проблемы и перспективы
Технические аспекты блокировки интернета в России. Проблемы и перспективы
 
HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6
 
Вячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSВячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPS
 
Что надо знать о HTTP/2 Frontend разработчику
Что надо знать о HTTP/2 Frontend разработчикуЧто надо знать о HTTP/2 Frontend разработчику
Что надо знать о HTTP/2 Frontend разработчику
 
A popular DNS security overview
A popular DNS security overviewA popular DNS security overview
A popular DNS security overview
 
Web весна 2013 лекция 3
Web весна 2013 лекция 3Web весна 2013 лекция 3
Web весна 2013 лекция 3
 
Антон Карпов - Сетевая безопасность
Антон Карпов - Сетевая безопасность Антон Карпов - Сетевая безопасность
Антон Карпов - Сетевая безопасность
 
Защита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.org
Защита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.orgЗащита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.org
Защита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.org
 
HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2
 
Web осень 2012 лекция 3
Web осень 2012 лекция 3Web осень 2012 лекция 3
Web осень 2012 лекция 3
 
HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5
 
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯDDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
 
05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколы05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколы
 
Блокчейн, консенсус - как и зачем? #spblockchain
Блокчейн, консенсус - как и зачем? #spblockchainБлокчейн, консенсус - как и зачем? #spblockchain
Блокчейн, консенсус - как и зачем? #spblockchain
 

Similar to DNSSEC

ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSECENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSECPhilipp Kulin
 
Обзор Redis storage / Symfony Camp UA 2011
Обзор Redis storage / Symfony Camp UA 2011Обзор Redis storage / Symfony Camp UA 2011
Обзор Redis storage / Symfony Camp UA 2011Igor Brovchenko
 
Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...
Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...
Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...odnoklassniki.ru
 
Apache Cassandra. Ещё одно NoSQL хранилище (Владимир Климонтович)
Apache Cassandra. Ещё одно NoSQL хранилище (Владимир Климонтович)Apache Cassandra. Ещё одно NoSQL хранилище (Владимир Климонтович)
Apache Cassandra. Ещё одно NoSQL хранилище (Владимир Климонтович)Ontico
 

Similar to DNSSEC (7)

Криптография
КриптографияКриптография
Криптография
 
DNS
DNSDNS
DNS
 
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSECENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
 
Обзор Redis storage / Symfony Camp UA 2011
Обзор Redis storage / Symfony Camp UA 2011Обзор Redis storage / Symfony Camp UA 2011
Обзор Redis storage / Symfony Camp UA 2011
 
Cassandra
CassandraCassandra
Cassandra
 
Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...
Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...
Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...
 
Apache Cassandra. Ещё одно NoSQL хранилище (Владимир Климонтович)
Apache Cassandra. Ещё одно NoSQL хранилище (Владимир Климонтович)Apache Cassandra. Ещё одно NoSQL хранилище (Владимир Климонтович)
Apache Cassandra. Ещё одно NoSQL хранилище (Владимир Климонтович)
 

More from Philipp Kulin

Разбор и сравнение данных в большом XML на маленькой VDS
Разбор и сравнение данных в большом XML на маленькой VDSРазбор и сравнение данных в большом XML на маленькой VDS
Разбор и сравнение данных в большом XML на маленькой VDSPhilipp Kulin
 
ENOG-14. Ограничение доступа в России
ENOG-14. Ограничение доступа в РоссииENOG-14. Ограничение доступа в России
ENOG-14. Ограничение доступа в РоссииPhilipp Kulin
 
Опыт использования IPv6 год спустя
Опыт использования IPv6 год спустяОпыт использования IPv6 год спустя
Опыт использования IPv6 год спустяPhilipp Kulin
 
Как взломать WordPress/Joomla за 5 минут
Как взломать WordPress/Joomla за 5 минутКак взломать WordPress/Joomla за 5 минут
Как взломать WordPress/Joomla за 5 минутPhilipp Kulin
 
Опыт внедрения IPv6 и статистика
Опыт внедрения IPv6 и статистикаОпыт внедрения IPv6 и статистика
Опыт внедрения IPv6 и статистикаPhilipp Kulin
 
Внедрение IPv6
Внедрение IPv6Внедрение IPv6
Внедрение IPv6Philipp Kulin
 
Хостинг-провайдер и противоправный контент
Хостинг-провайдер и противоправный контентХостинг-провайдер и противоправный контент
Хостинг-провайдер и противоправный контентPhilipp Kulin
 
перспективы черного списка
перспективы черного спискаперспективы черного списка
перспективы черного спискаPhilipp Kulin
 

More from Philipp Kulin (8)

Разбор и сравнение данных в большом XML на маленькой VDS
Разбор и сравнение данных в большом XML на маленькой VDSРазбор и сравнение данных в большом XML на маленькой VDS
Разбор и сравнение данных в большом XML на маленькой VDS
 
ENOG-14. Ограничение доступа в России
ENOG-14. Ограничение доступа в РоссииENOG-14. Ограничение доступа в России
ENOG-14. Ограничение доступа в России
 
Опыт использования IPv6 год спустя
Опыт использования IPv6 год спустяОпыт использования IPv6 год спустя
Опыт использования IPv6 год спустя
 
Как взломать WordPress/Joomla за 5 минут
Как взломать WordPress/Joomla за 5 минутКак взломать WordPress/Joomla за 5 минут
Как взломать WordPress/Joomla за 5 минут
 
Опыт внедрения IPv6 и статистика
Опыт внедрения IPv6 и статистикаОпыт внедрения IPv6 и статистика
Опыт внедрения IPv6 и статистика
 
Внедрение IPv6
Внедрение IPv6Внедрение IPv6
Внедрение IPv6
 
Хостинг-провайдер и противоправный контент
Хостинг-провайдер и противоправный контентХостинг-провайдер и противоправный контент
Хостинг-провайдер и противоправный контент
 
перспективы черного списка
перспективы черного спискаперспективы черного списка
перспективы черного списка
 

DNSSEC

  • 2. Зачем DNSSEC • Цепочка доверия для записей от корневой зоны. • Предотвращение атаки «мужик посерёдке» • Вкусняшки: RR CERT, RR SSHFP, DANE
  • 3. Принцип работы DNSSEC • Ключи ZSK и KSK задаются в записях типа DNSKEY • Все наборы записей зоны подписываются ZSK (записи RRSIG) • Набор записей DNSKEY подписываются в том числе KSK • Хэш KSK передаётся родителю (запись DS)
  • 4. NSEC и NSEC3 Защита от подделки отрицательного ответа (домена не существует). В отрицательном ответе выдаётся NSEС запись для следующего домена. NSEC3 – для хэшированного имени следующего домена.
  • 5. Алоритмы • Традиционный RSASHA1 и SHA1 • Новые RSASHA256 и SHA256 • Алиасы традиционных для поддержки NSEC3 – RSANSEC3SHA1 • Алгоритмы ГОСТ (не поддерживают хэш NSEC3)
  • 6. Границы времени DNSSEC • Максимальное TTL зоны • Время действия подписи в RRSIG • TTL должно быть частью времени действия подписи • Действия с DNSSEC должны быть аккуратно расписаны по временным меткам
  • 7. Ротация ключей • Для смены ZSK обычно публикуют новый ZSK заранее. • Для смены KSK публикуют новый KSK и подписывают новым и старым одновременно.
  • 8. Настройка и ПО • Ldns http://www.nlnetlabs.nl/projects/ldns/ • BIND (лучше сразу 9.9) • DNSSEC-Tools (на основе BIND Tools) https://www.dnssec-tools.org • Алгоритмы ГОСТ
  • 10. Сложности DNSSEC • Смена NS. Легче через промежуточные ключи. • Имеется тяжкое наследие. Путаница в документации. • Файл hosts • Метод блокировки сайтов через DNS….
  • 11. DANE • Реализует цепочку доверия для сертификата, подтверждая его доменное имя. • Запись TLSA: _443._tcp.example.com. IN TLSA ( 3 0 0 30820307308201efa003020102020... ) • Браузеры пока нет, exim – в разработке. • RFC 6698
  • 12. Поддержка DNSSEC • Google Public DNS при явном указании бита DO • Регистратор GoDaddy • Регистратор Directi НЕ поддерживает • RU/SU/РФ подписаны • Из наших регистраторов – пользователи «виртуального регистратора», частично RU-CENTER