dns - IDN c​​cTLD の DNSSEC DS レコードを送信する場所と方法

Question

IDN c​​cTLD を設定する機会を得ました。すでに DNS サーバーを構成しており、正常に動作しています。今、DNSSEC によって dns サービスを保護するという課題があります。自己署名で DNSSECC を構成しました。しかし、DS レコードをどこにどのように入力すればよいかわかりません。

Answer 1

Calle Dybedahlは「どこで」と答えましたが、ccTLD (IDN またはその他) に対して DNSSEC を有効にする「方法」についていくつかの指針を提供したいと思います。

Viktor Dukhovni の「Common Mistakes」ページでは、DANE (特に SMTP の証明書のアンカーとしての DNSSEC の使用) に固有の多くのことを扱っていますが、彼の最初の 2 つのポイント (および最後から 2 番目のポイント) は、どのオペレーターにも有効です。 DNSSEC、特にあらゆる種類の TLD の実装。

特に、以下に要約されている最初の点は重要です。

DNSSEC DS レコードの公開 ... ファッション ステートメントとして

これらを正しく維持するには、運用上の規律が必要です。「ファイア アンド フォーゲット」を期待する管理者は、DNSSEC 署名済みゾーンを公開すべきではありません... または、他の人にお金を払ってゾーンをホストしてもらうこともできます... 管理が不十分な DNSSEC ゾーンを運用すると、問題のドメインだけでなく、そのようなドメインと通信しようとしているすべてのドメイン。DNSSEC ... [が] 真剣に受け止められれば、誰もがより良い生活を送ることができます。

DNSSEC 署名ゾーンの適切な運用を維持するという点での記録が恒星とはほど遠い ccTLD が多数あります。「恥の殿堂」があります。IANIX 停止リストに複数回表示される TLD を探してください。

IDN c​​cTLD は新しい TLD であるため、DNSSEC は必須であるため、IANIX が提供する赤い錠剤を飲み込んで DNSSEC を放棄したとしても、それを実装するしかありません。TLD として、DNSSEC の展開は、ドメインだけでなく、それに登録されているすべてのドメインの運用とセキュリティに直接影響するため、DNSSEC の展開を最大限の重力の負担として扱うようにあらゆる努力を払う必要があります。

さらに、DNSSEC は困難で問題が多いため、なくなる可能性は低く、 DNSSEC 自体を検証する (または、 Google Public DNS、Comcast ISP、またはVerisign Public DNSなどの DNSSEC 検証解決サービスのみに依存する)クライアントの数は増加しています。世界中のすべてのクライアントの 15% を超え、IDN c​​cTLD の候補となる可能性が高い多くの国でそれをはるかに上回っています (クライアントの 40% が DNSSEC 検証に依存しているケニアなどの例については、前のリンクで地域別および国別のドリルダウンを参照してください)。 、および.KE TLD では先月、大幅な DNSSEC の停止が発生しました)。

ISOCには優れたリソースがあり、 DNSSEC を「自分で」実行して独自の DNSSEC ゾーン署名を行う場合に役立つベスト プラクティスの PDFがあります。しかし、これを間違えるのは非常に簡単であり、定期的な監視とオンコール応答がなければ、DNSSEC 署名が期限切れになり、ドメイン全体が数百万に到達できなくなる可能性があります. さらに悪いことに、DNSSEC 署名に使用される秘密鍵が侵害された場合、DNSSEC に依存するドメインのセキュリティが危険にさらされる可能性があります。

管理された DNSSEC を提供できる商用 DNS プロバイダーを使用して IDN c​​cTLD のゾーンをホストすることが、長期的には簡単で安価ではないかどうかを真剣に検討することをお勧めします (TLD のレジストリ側を操作し、ゾーンを更新します)。 DNS 管理 API を使用してレジストリ実装から）。

最後に 1 つのアドバイス。ccTLD に DS レコードがなく、NSEC3 オプトアウトが必要な数百万のドメインを委任している場合、またはデータ プライバシー法[1] [2]で NSEC3 の使用が義務付けられている可能性があるヨーロッパで事業を行っている場合を除き、古いこれにより、Google パブリック DNS (および積極的な NSEC キャッシングの他の実装) が NXDOMAIN サービス拒否攻撃やジャンク クエリを、権限のあるサーバーに転送することなく吸収できるようになります。NSEC3 が実際にゾーン列挙に対する重要な保護を提供する場合、使用する価値があるかもしれませんが、適切な GPUとNXDOMAIN 攻撃に対する保護があれば、それを破ることは難しくありません。(2016 ～ 2017 年は NSEC でのみ可能) の方が便利です。