qbi*_*qbi 8 debian bind dnssec
组织为其域提供 DNSSEC 支持。他们有一个 BIND9 作为运行的权威名称服务器,它也管理密钥。但是决定删除 DNSSEC。删除其中的密钥材料/var/lib/bind/pri并重新启动服务器是否就足够了,或者是否应该执行一些步骤来删除它?
Esa*_*nen 17
不,仅在权威名称服务器上本地删除配置是不够的。
DNSSEC 是一个分层系统,信任链可以防止DNS缓存中毒。
DNSSEC旨在保护 Internet 免受某些攻击,例如 DNS 缓存中毒。它是 DNS 的一组扩展,提供:a) DNS 数据的原始身份验证,b) 数据完整性,以及 c) 已验证的拒绝存在。
信任链示例:
ns1.example.com.拥有私人密钥签署example.com. A与example.com. RRSIG A。example.com.已发送并经权威机构已确认com.,然后有它example.com. DS hash和相应的example.com. RRSID DS,有符号的私钥对.com.该公钥的com.已发送到并确认的root权限,然后有它com. DS hash和相应的com. RRSID DS,有符号私人根密钥对,即关键.,又名根区域信任锚:
根密钥签名密钥充当域名系统 DNSSEC 的信任锚。此信任锚在 DNSSEC 感知解析器中配置,以促进 DNS 数据的验证。
您可以使用DNSViz对任何域进行很好的可视化。它还检测配置错误。
因此,必须联系负责 TLD 的机构,可能是通过注册商,并告知应为域禁用 DNSSEC。他们将通过DS从其名称服务器中删除链接记录来禁用 DNSSEC 。否则 DNSSEC 仍将启用,导致您的权威名称服务器被视为流氓名称服务器。
| 归档时间: |
|
| 查看次数: |
6375 次 |
| 最近记录: |