DNSSEC
Филипп Кулин,
schors@gmail.com
30.01.2013

Зачем DNSSEC
• Цепочка доверия для записей от
корневой зоны.
• Предотвращение атаки «мужик
посерёдке»
• Вкусняшки: RR CERT, RR SSHFP, DANE

Принцип работы DNSSEC
• Ключи ZSK и KSK задаются в записях
типа DNSKEY
• Все наборы записей зоны
подписываются ZSK (записи RRSIG)
• Набор записей DNSKEY
подписываются в том числе KSK
• Хэш KSK передаётся родителю (запись
DS)

NSEC и NSEC3
Защита от подделки отрицательного
ответа (домена не существует).
В отрицательном ответе выдаётся NSEС
запись для следующего домена. NSEC3 –
для хэшированного имени следующего
домена.

Алоритмы
• Традиционный RSASHA1 и SHA1
• Новые RSASHA256 и SHA256
• Алиасы традиционных для поддержки
NSEC3 – RSANSEC3SHA1
• Алгоритмы ГОСТ (не поддерживают
хэш NSEC3)

Границы времени DNSSEC
• Максимальное TTL зоны
• Время действия подписи в RRSIG
• TTL должно быть частью времени
действия подписи
• Действия с DNSSEC должны быть
аккуратно расписаны по временным
меткам

Ротация ключей
• Для смены ZSK обычно публикуют
новый ZSK заранее.
• Для смены KSK публикуют новый KSK и
подписывают новым и старым
одновременно.

Настройка и ПО
• Ldns http://www.nlnetlabs.nl/projects/ldns/
• BIND (лучше сразу 9.9)
• DNSSEC-Tools (на основе BIND Tools)
https://www.dnssec-tools.org
• Алгоритмы ГОСТ

Практика эксплуатации
RFC 6781

Сложности DNSSEC
• Смена NS. Легче через промежуточные
ключи.
• Имеется тяжкое наследие. Путаница в
документации.
• Файл hosts
• Метод блокировки сайтов через DNS….

DANE
• Реализует цепочку доверия для
сертификата, подтверждая его
доменное имя.
• Запись TLSA:
_443._tcp.example.com. IN TLSA ( 3 0 0
30820307308201efa003020102020... )
• Браузеры пока нет, exim – в разработке.
• RFC 6698

Поддержка DNSSEC
• Google Public DNS при явном указании
бита DO
• Регистратор GoDaddy
• Регистратор Directi НЕ поддерживает
• RU/SU/РФ подписаны
• Из наших регистраторов –
пользователи «виртуального
регистратора», частично RU-CENTER

ВОПРОСЫ?
Филипп Кулин
schors@gmail.com