S DNSSEC se ve světě roztrhl pytel

Není to tak dávno, co jsem zde psal o zavedení DNSSEC u domén Švýcarska a Lichtenštejnska. Skoro vzápětí ohlásil kanadský doménový registr CIRA na konferenci SecTor, že zahájil testovací provoz podepsané domény .ca.

Kompletní informace lze nalézt na stránkách registru CIRA, zde zmíním jen pár detailů. Testovací provoz probíhá na samostatných DNS serverech, tak aby nebyl narušen normální provoz. Pro podpis je použit algoritmus NSEC3 RSA-SHA1. Velikost zónového souboru vzrostla z 180MB na 670MB. Ještě doplním, i když určitě nechci naši roli přeceňovat ani nás nějak chválit, že s námi, s CZ.NIC správci kanadského národního registru některé důležité detaily konzultovali.

Pokud byste chtěli vyzkoušet, jak funguje DNSSEC v zemi javorového listu, máte dvě možnosti. První je použít rekurzivní DNS server unbound a nakonfigurovat v něm stub zónu takto:


stub zone:
name: “ca.”
stub-addr: 192.228.22.190
stub-addr: 192.228.22.189
stub-prime: “no”

Tento kousek konfigurace způsobí, že pro doménu .ca se budou používat jiné nameservery. Následně z výše zmíněné stránky musíte stáhnout soubor ca.conf a přidat jej do konfigurace:


server:
trusted-keys-file: "/etc/unbound/ca.conf"

Pro DNS server Bind 9 není možné nastavit konfiguraci tímto způsobem a proto byly připraveny forwardující DNS servery, které můžete použít takto:


zone “ca.” IN {
type forward;
forwarders { 66.241.135.248; 193.110.157.136; };
}

Tato část konfigurace způsobí, že se váš DNS server Bind bude pro dotazy směřující do domény .ca ptát speciálních rekurzivních DNS serverů.

Pro následné ověření, že jste konfiguraci provedli správně, můžete vyzkoušet kanadskou obdobu naší české domény http://www.rhybar.cz/ (tato stránka se při zapnuté DNSSEC validaci nezobrazí) na adrese http://broken.xelerance.ca/.

Ondřej Surý

Autor:

Komentáře (2)

  1. grim říká:

    nebýt DNSSEC, tak to tady můžete zavřít, co?

  2. Ondřej Surý říká:

    Dobrý den,

    jako správce národní píšeme o novinkách a zajímavostech z DNS světa, kam patří bezpochyby i DNSSEC, kde v posledních týdnech událost spousta zajímavých věcí.

    Nicméně DNSSEC není jediné téma, psali jsme o změnách v doméně .de a o červu Conficker, který pro své šíření používá mimo jiné také DNS.

    O.S.

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.