在何处以及如何提交IDN ccTLD的DNSSEC DS记录

Question

我得到了配置IDN ccTLD的机会。我已经配置了DNS服务器，它工作正常。现在我要挑战DNSSEC的dns服务安全。我通过自签名配置了DNSSECC。但现在我不明白我应该在哪里以及如何输入DS记录。

Answer 1

虽然Calle Dybedahl回答了“在哪里”，但我想提供一些关于“如何”为您的ccTLD (IDN或其他)启用DNSSEC的建议。

Viktor Dukhovni的"Common Mistakes"页面处理了许多特定于DANE的事情(使用DNSSEC作为证书的锚，特别是SMTP)，但他的前两点(以及倒数第二点)对任何实现DNSSEC的操作员都有效，特别是任何类型的TLD。

特别是，下面删节的第一点是至关重要的：

正在发布DNSSEC DS记录...作为一种时尚声明

要保持这些正确，就需要操作纪律。希望“即发即忘”的管理员不应该发布DNSSEC签名的区域...或者他们可以付钱给其他人来托管他们的专区。运行维护不善的DNSSEC区域...不仅会给有问题的域带来问题，而且会给尝试与这样一个域通信的所有域带来问题。如果DNSSEC ..。都是认真对待的。

有许多ccTLD在维护其DNSSEC签名的区域正常运行方面的记录远不是一流的；有一个"hall of shame"-just查找在IANIX中断列表中出现不止一次的TLD。

由于您的IDN是一个新的ccTLD，DNSSEC是强制性的，所以即使您接受了IANIX提供的红色药丸并放弃了DNSSEC，您仍然别无选择，只能实现它。您应该尽一切努力将您的DNSSEC部署视为最重要的责任，因为作为TLD，它不仅直接影响您的域的操作和安全，而且影响任何和所有注册到它的域的操作和安全。

此外，尽管DNSSEC是困难和有问题的，但它不太可能消失，而且clients that validate DNSSEC本身(或仅依赖于Google Public DNS、Comcast ISP或Verisign Public DNS等DNSSEC验证解决方案服务)的数量是显著的，在许多可能成为IDN ccTLD候选的国家/地区中，更多(参见Kenya where 40% of clients rely on DNSSEC validation和.KE TLD had a significant DNSSEC outage last month等示例，请参阅regional和每个国家的深入查看)。

如果你想“自己做”并使用你自己的DNSSEC专区签名，ISOC和a best practices PDF上有很好的资源可以帮助你管理DNSSEC。但这很容易出错，如果没有定期的监控和待命响应，您的DNSSEC签名可能会过期，并使数百万人无法访问整个域。更糟糕的是，如果用于DNSSEC签名的私钥遭到破坏，则依赖于DNSSEC的任何域的安全性都可能处于危险之中。

您可能需要认真考虑，从长远来看，使用可以提供托管DNSSEC的商业ccTLD提供商托管IDN的区域是否更容易、成本更低(同时您操作TLD端的注册表端，并使用DNS管理API从您的注册表实现更新区域)。

最后一条建议；除非你委派了数以百万计的域名，这些域名在你的ccTLD中没有DS记录，需要NSEC3 opt-out，或者你在欧洲运营，那里的数据隐私法[1][2]可能要求你使用NSEC3，你现在可能应该使用老式的NSEC，因为它允许Google Public DNS (和其他aggressive NSEC caching实现)吸收NXDOMAIN拒绝服务攻击和垃圾查询，而不会将它们转发到您的权威服务器。如果NSEC3确实提供了针对区域枚举的重要保护，那么它可能值得使用，但它是not hard to break it if you have a decent GPU和protection against NXDOMAIN attacks (2016-2017年仅可能与NSEC一起使用)更有用。

Answer 2

DS记录位于委派区域中，如果您实际正在配置ccTLD，则该区域就是根区域。因此，请与您在ICANN的联系人讨论如何向他们提供必要的信息。