V úterý (21. září 2009) došlo k podpisu dalších dvou národních TLD. Organizace SWITCH, správce národních domény Švýcarska a Lichtenštejnska, oznámila podpis domén .ch a .li. Obě tyto národní domény jsou podepsány pomocí technologie DNSSEC. Neexistence domény je řešena pomocí standardu NSEC3, bez možnosti opt-out. Klíče obou domén můžete zjistit příkazem dig +multi IN DNSKEY CH. a dig +multi IN DNSKEY LI.. Ke zveřejnění klíčů a jejich vložení do registru ITAR by mělo dojít během několika málo dní.
Každý měsíc teď už přicházejí zprávy o zavedení DNSSEC v další a další doméně nejvyšší úrovně. Český registr již eviduje více než 1 000 domén, které DNSSEC chrání. Nedá mi tedy než se nezeptat: „A co vy? Už jste také podepsali?“
Ondřej Surý
Podepsal bych, kdyby DNSSEC můj NS uměl. ;c) V prvé řadě ho tedy budu muset vyměnit a až poté domény podepsat. Docela se na to těším, protože je to další krok vpřed. :c)
Ja jsem si domenu zkousel podepsat v bindu v lenny, ale nejak sem se neprobojoval k tomu, aby mi dig vratil flag „ad“ :(
„ad“ bit vám vrátí až validující resolver.
Doporučil bych vám DNSSEC kurz v naší akademii, kde se přesně tyhle věci probírají :)
Moje odpověď na otázku z konce příspěvku: Podepsal, ale zatím nepublikoval, neboť publikace záznamu o podpisu (DS záznam) závisí na tom, co mi umožní registrátor.
Největší registrátor (Internet CZ) umožňuje aspoň dle svého webu DNSSEC pouze v případě, že se používají jejich nameservery (http://kb.forpsi.com/article.php?id=552). Pokud si někdo provozuje nameservery sám, má asi s DNSSEC smůlu.
Druhý největší registrátor (Ignum) předpokládá podporu DNSSEC nejdříve v příštím roce (http://ignum.cz/forum/read.php?6,2027). Toto veřejně dostupné prohlášení je však v rozporu s tím, že u této firmy je registrována např. podepsaná doména lupa.cz.
Active 24, u kterého máme registrovány některé naše domény, DNSSEC podporuje, ale s některými výhradami. Pro DS záznamy není možné použít hashovací funkci SHA-256 (viz rfc4509), pro podpis zóny lze použít pouze algoritmus RSA-SHA1 v kombinaci s NSEC. Při podpisu zóny nemohu použít NSEC3, neboť nelze ve formuláři zadat algoritmus RSASHA1-NSEC3-SHA1 (rfc 5155). Se zákaznickou podporou firmy si již chvíli dopisuji, takže doufám ve zlepšení stavu.
Mohl by NIC.CZ provést průzkum podpory DNSSEC u jednotlivých registrátorů?
Luboš Pavlíček:
Internet CZ (FORPSI) DNSSEC u vlastních DNS serverů umožňuje.
Postup je následující:
1. Vytvořte si ručně sadu klíčů (KEYSET) – https://www.forpsi.com/domain/cr-keyset.php
2. Sadu klíčů zadejte tady https://www.forpsi.com/domain/edit-domain.php
Oficiální nápověda Forpsi říká:
„Využívá-li zákazník u své .cz domény (jejímž registrátorem je INTERNET CZ, a.s.) vlastní DNS, musí nejdříve jeho správce DNS vytvořit sadu klíčů pro doménu tzv. „keyset“. Může ho vytvořit zde a tento keyset následně přidat k dané doméně přes formulář na změnu údajů k doméně.(Autorizace změny u domény se provádí heslem k doméně, které je možné si nechat zaslat na e-mail držitele či admin. kontaktu přes odkaz „nevim heslo“).“
Viz také:
http://kb.forpsi.com/article.php?id=552
Dobrý den,
odkaz na tvorbu klíčů na Vašem odkazu nefunguje a na webu Forpsi jsem takovou možnost nenašel. Platí, že lze stále na forpsi klíče vytvářet a i měnit názvy serverů (nameservers) v nastavení DNS domény?
Díky
snažím se přidat vlastní dns server podle návodu forpsi (https://support.forpsi.com/kb/a2531/zmena-dns-serveru.aspx#_To0032), ale tato možnost