DNSSEC mało popularny

[Fizyda 34]

Jakie jest Wasze zdanie na temat DNSSEC, jest to coś czego powinno się używać czy nie?

 

Pytam ponieważ zauważyłem że bardzo dużo stron nie używa w ogóle dnssec, zastanawiam się jaki jest tego powód, jedyny jaki mi przychodzi do głowy to taki, że jest trochę zabawy z utrzymaniem dnssec. Trzeba podpisywać strefę co 30 dni (domyślnie) ponieważ ona wygasa, należy co jakiś czas zmieniać klucze KSK i ZSK, a to wymaga zaangażowania człowieka ponieważ należ zaktualizować rekordy DS.

 

Jaki jest powód że dnssec nie jest praktycznie w użyciu? Sprawdziłem nawet banki (kilka banków) nie używają go, google, facebook również, a to przecież największe serwisy.

Edytowano Sierpień 1, 2016 przez Fizyda (zobacz historię edycji)

[bybunny 540]

Tak powinno się tego używać jeżeli jest taka możliwość zwłaszcza jak posiadasz coś istotnego gdzie ważna jest gwarancja by nikt się np nie podszył. Co np można sprawdzić najlepiej tu: http://dnssec-debugger.verisignlabs.com

 

To co napisałeś na temat angażowania człowieka itd to trochę nie tak ponieważ tego typu sprawy opierasz na skryptach. DNSSEC nie jest łatwy do wdrożenia zwłaszcza jak dotyczy rozległej struktury serwerów z podziałem na wiele funkcji więc wydaje mi się że spore grono firm po prostu odpuściło sobie , to oczywiście jedynie moje odczucie.

[Fizyda 34]

Zgadza się da się załatwić to za pomocą skryptów, ale tylko w przypadku gdy rejestrator udostępnia api, ja założyłem najgorszy scenariusz że takiego api nie ma, w tedy aktualizacja rekordów DS musi zostać dokonana ręcznie.

 

Dla mnie dziwne jest to że sprawdzając ipko (nie znam adresów paneli klientów innych banków stąd taki wybór) nie mają oni wdrożonego dnssec. Google.com i facebook.com również nie mają dnssec.

 

Czemu uważasz że to zależy od struktury serwerów. Nie da się rozbić raczej serwera DNS na kilka maszyn, a różnica między zwykłym DNS a DNSSEC jest taka że po aktualizacji strefy w przypadku drugiego należy wykonać dodatkową komendę i nic więcej. Dopytuję się i podważam trochę Twój argument ponieważ na pewno nie posiadam rozległej wiedzy w tej dziedzinie, dlatego też nie przekonałeś mnie nim. Jeśli możesz rozwiń trochę bardziej myśl, co może być przeszkodą we wdrożeniu DNSSECa.

[bybunny 540]

Da się rozbić DNS i nazywa się to potocznie GeoDNS. Z tej opcji korzysta np paypal który również używa DNSSEC . My również posiadamy DNSSEC lecz sam DNS fizycznie siedzi na cloudflare ze względu na API które upraszcza nam funkcję dodania rekordów "A" dla serwerów dedykowanych itp. Nie ma czasu tego zmienić mimo że oferujemy sami usługi DNS.

Tu masz ładnie opisaną (EN) odpowiedź na twoje pytanie lecz nie ze wszystkim się osobiście zgadzam bo jak rzeczywiście przychodzi do zestawienia usługi o takim profilu potrafią pojawić się niezłe schody: http://security.stackexchange.com/questions/21121/if-dnssec-is-so-useful-why-is-its-deployment-non-existent-for-top-domains

[Gość Spoofy]

Ja tam używam DNSSEC'a od kilku lat

Zawsze jest to kolejna metoda walidacji

[Fizyda 34]

Ja tam używam DNSSEC'a od kilku lat

 

Zawsze jest to kolejna metoda walidacji

 

Z Ciekawości jak poradziłeś sobie z wygasaniem podpisanej strefy? Długi czas życia czy może cron, albo opendnssec?

 

Mógłbyś powiedzieć jak w praktyce wygląda wymiana kluczy? Edytujesz DS czy może dodajesz nowe, a po aktualizacji usuwasz stare. Chodzi mi o to jak to zorganizować by nie było przerw w działaniu usługi, fakt nie potrzebuję tak niezawodnego rozwiązania w tej chwili, ale nie wiadomo co przyszłość przyniesie.

Ostatnia rzecz jaka mnie męczy to jak często wymieniać klucze, teoretycznie KSK może być zmieniany rzadziej niż ZSZ, ale nigdzie nie udało mi się znaleźć informacji o jakimś rekomendowanym czasie po którym powinno się zmieniać jeden albo drugi lub oba nawet. Z wyjątkiem wycieku kluczy.

[Gość Spoofy]

 

Z Ciekawości jak poradziłeś sobie z wygasaniem podpisanej strefy? Długi czas życia czy może cron, albo opendnssec?

 

Mógłbyś powiedzieć jak w praktyce wygląda wymiana kluczy? Edytujesz DS czy może dodajesz nowe, a po aktualizacji usuwasz stare. Chodzi mi o to jak to zorganizować by nie było przerw w działaniu usługi, fakt nie potrzebuję tak niezawodnego rozwiązania w tej chwili, ale nie wiadomo co przyszłość przyniesie.

Ostatnia rzecz jaka mnie męczy to jak często wymieniać klucze, teoretycznie KSK może być zmieniany rzadziej niż ZSZ, ale nigdzie nie udało mi się znaleźć informacji o jakimś rekomendowanym czasie po którym powinno się zmieniać jeden albo drugi lub oba nawet. Z wyjątkiem wycieku kluczy.

 

rollerd + dnssec-tools + własne skrypty :

 

 

	kskphase	"6"
	zskphase	"0"
	ksk_rolldate	"Thu Jan 28 00:47:28 2016"
	ksk_rollsecs	"1453938448"
	zsk_rolldate	"Fri Jul 22 09:19:33 2016"
	zsk_rollsecs	"1469171973"
	maxttl		"86400"
	display		"1"
	phasestart	"Mon Aug  1 14:40:20 2016"
	# optional records for RFC5011 rolling:
	istrustanchor	"no"
	holddowntime	"60D"

zonesigner:

 

Jul 30 14:36:12 2016: domena.com: KSK phase 2
Jul 30 14:36:12 2016: domena.com: executing "/usr/sbin/zonesigner -dtconfig /etc/dnssec-tools/dnssec-tools.conf -newpubksk -zone domena.com -krf /var/chroot/bind/etc/zones/domena.com.krf domena.com domena.com.signed"
Jul 30 14:36:13 2016: domena.com: reloading zone for KSK phase 2
Jul 30 14:36:13 2016: domena.com: KSK phase 3
Jul 30 14:36:13 2016: domena.com: KSK phase 3; cache expires in 2 days

P.S. Tutaj masz jakiegoś tutka: https://www.digitalocean.com/community/tutorials/how-to-setup-dnssec-on-an-authoritative-bind-dns-server--2

[hsqva 0]

Używać należy DNSSEC!

 

Temat DNS jest traktowany bardzo pobieżnie przez większość firm (resolver jak i autorytatywny DNS), a admini nie zagłębiają się w nowinki techniczne jak choćby DANE, które w powiązaniu z DNSSEC dają ciekawe możliwośći.

 

Z drugiej strony registrarzy .PL nie ułatwiają zadania, bo muszą dostosować swoje systemy do EPP NASK, żeby móc obsługiwać DNSSSEC, a póki co jest ich bardzo mało. Wystarczy spojrzeć na listę NASK: http://www.dns.pl/porozumienie/partner.html

 

 

Cytat z raportu NASK;

"W pierwszym kwartale 2016 roku średnio dziennie w DNS

przybywało 8,9nazw domeny .pl z wpisami potwierdzający

mi prawidłowe zabezpieczenie protokołem DNSSEC."

Edytowano Sierpień 1, 2016 przez hsqva (zobacz historię edycji)

[bybunny 540]

Ja tam używam DNSSEC'a od kilku lat

 

Zawsze jest to kolejna metoda walidacji

Odświeżam temat bo własnie od kilku tygodni testujemy obsługę DNSSEC dla naszych klientów. Powiedz mi ile domen obsługujesz o ile to nie tajemnica.

[Metrix 0]

Witam forumowiczów,

 

czy ktoś z was miał może problemy z transferem domeny używającej DNSSEC do operatora który go nie wspiera?

 

moja domena została przetransferowana ale DNSSEC się posypał.

 

http://dnsviz.net/d/ekonomnom.pl/dnssec/

 

czy ktoś z was miał podobny problem?

[bybunny 540]

Pamiętaj, że jeśli aktualizujesz serwery nazw, a DNSSEC jest włączony, Twoja domena może przestać działać. Aby tego uniknąć, upewnij się, że nowe serwery nazw są prawidłowo podpisane w strefie lub wyłącz DNSSEC dla twojej domeny by unikać podobnych sytuacji.

[Metrix 0]

Zgadza się, i działać przestała ale tylko przez serwery goole bo tylko oni są restrykcyjni w tej kwestii. Teraz mam problem - jak ponownie podpisac domenę, albo jak dnssec wyłaczyć.

[kafi 2425]

Witam forumowiczów,

 

czy ktoś z was miał może problemy z transferem domeny używającej DNSSEC do operatora który go nie wspiera?

 

moja domena została przetransferowana ale DNSSEC się posypał.

 

http://dnsviz.net/d/ekonomnom.pl/dnssec/

 

czy ktoś z was miał podobny problem?

 

Precyzując - w przypadku domen .pl sam transfer nie powoduje naruszeń związanych z dnssec.

Problemy pojawiają się dopiero wtedy, gdy zmienisz delegację podpisanej domeny.

 

W związku z tym (oraz tym, że jest weekend) zmień delegację na poprzednie serwery (gdzie powinna ostać się jeszcze podpisana strefa) i negocjuj ze swoim nowym rejestratorem usunięcie kluczy dnssec. A jeżeli będzie to dla niego aż taki problem, to cóż, pozostanie ci złożyć skargę do NASK - może jak ich się trochę pojawi, to wpadną jak problem bogus delegation rozwiązać systemowo

[Metrix 0]

Dzięki!!! tak, zrobiłem i o dziwo już wszytsko gra - nie wiem jak to możeliwe, że tak szybko się rozpropagowało, ale nie bedę narzekał.

 

teraz teraz jeszcze kilka godzin na teleofnie z supportem i może mi to wyłączą. Nowy rejestrator na wszystko ma jedną odpowiedż - "nie obsługujemy dnssec" a stary "to już nie nasza domena"

 

przestroga dla potomnych niedoświadczonych jak ja: jak używasz dnssec to przed zmianą delegacji warto wyłączyć i lepiej rozeznać temat.

 

[HaPe 242]

Dzięki!!! tak, zrobiłem i o dziwo już wszytsko gra - nie wiem jak to możeliwe, że tak szybko się rozpropagowało, ale nie bedę narzekał.

 

teraz teraz jeszcze kilka godzin na teleofnie z supportem i może mi to wyłączą. Nowy rejestrator na wszystko ma jedną odpowiedż - "nie obsługujemy dnssec" a stary "to już nie nasza domena"

 

przestroga dla potomnych niedoświadczonych jak ja: jak używasz dnssec to przed zmianą delegacji warto wyłączyć i lepiej rozeznać temat.

 

 

Sam NASK przed tym ostrzega, dodatkowo na liście partnerów wyświetlają, kto wspiera DNSsec.