如何保护域？

Question

关于DNSSEC，我有一个初学者的问题。我在TLS和密码学方面有丰富的经验，我想尝试一下这种新技术。我在谷歌上搜索了很多这方面的信息，但我还没有找到有用的信息。我认为信息收集中的一个困惑是，"Debian howto DNSSEC安装“可能意味着”如何使用DNSSEC解决“或”如何使用DNSSEC保护您的域“。我在搜索第二个。

我正在运行一个具有根权限的Debian挤压服务器，该服务器的域名以".de“结尾(它已经由根区域签名)。此服务器上的网络接口使用网关IP (DNS解析器？)服务器正在运行的数据中心。

我的域托管在freedns.afraid.org，在那里我可以为我的域添加DNS RRs。他们目前无法添加DNSSEC RRs，但我正在窃听他们，以支持这个很快。;-)

我的简单问题是:如何在Debian上设置DNSSEC？Resp.我要问谁？

据我所知，我所要做的就是在我的Debian服务器上运行dnssec-keygen，然后将DNS提供程序的密钥添加为DNSSEC。(每30天换一次？)

我看过这个http://www.isc.org/files/DNSSEC_在……里面_6_minutes.pdf，但是看起来你必须是一个区域的所有者，所以我认为这不适用于我。谁需要在我的域名上签字？我的DNS提供者或者我的专区(DeNIC)或者我可以自己做吗？

任何帮助都是非常感谢的！

Answer 1

背景:实际上，DNSSEC是一对安全密钥和几个DNS记录，它们除了您的正常DNS记录之外，还应该存在。这些人居住在两个地方：

1. 您的域的权威DNS服务器。这保存了DNSKEY、RRSIG和NSEC/NSEC 3的记录。
2. 您的父域的权威DNS服务器(example.com的“com”域)。这是DS的记录。

私钥本身实际上可以存储在任何地方(甚至在它们用于签名所有必须签名的内容之后也可以删除)，但通常它们也会驻留在域权威服务器的某个地方。

现在，问题的答案取决于您的DNS提供者将如何实现DNSSEC支持。

在最简单的(对您而言)场景中，DNS托管将完成所有工作(创建KSK和ZSK密钥，发布DNSKEY记录，用RRSIG和NSEC/NSEC 3记录对区域文件进行签名和自动重新签名，以及准备将发送给注册员的DS密钥)。

(如您所见，它不仅需要您的DNS主机的支持，也需要来自您的注册商的支持。维护DNSSEC支持注册人名单)

在这种情况下，您只需复制DNS主机提供的DS密钥，并将其发送到您的注册员(希望通过网络接口或任何其他方式，您的注册支持)。

如您所见，整个过程与您的计算机(S)无关，也与您运行的任何操作系统无关，无论是debian还是windows，天堂都禁止。