iTunes შეცდომები 

DNSSec: რა არის ეს და რატომ. მაქსიმალური TTL მნიშვნელობის შემოწმება დომენის ზონაში. როგორ მუშაობს DNSSEC

როგორც ირკვევა, ბევრმა არ იცის რა არის DNSSec, რისთვის არის ის, რისთვის არა და ღირს თუ არა მისი დანერგვა სახლში. ვინაიდან რუსულ ენაზე ამ საკითხზე მწირი ინფორმაციაა, შევეცდები ნათელი მოვფინო ამ საკითხებს.

გარდა ამისა, NSEC3 ჩანაწერს აქვს დროშების ველი, რომელიც NSEC-ს არ აქვს. ამ დროისთვის განსაზღვრულია მხოლოდ ერთი დროშა - OPT-OUT, რომლის წყალობითაც შესაძლებელია ხელი მოაწეროთ არა მთელ ზონას (რომელიც დიდი თუ შეიძლება იყოს ძალიან ხანგრძლივი პროცესი), არამედ მხოლოდ იმ დომენების სახელები, რომლებისთვისაც არსებობს DS. ჩანაწერები.
ერთის მხრივ, OPT-OUT-ს შეუძლია მნიშვნელოვნად შეამციროს ხელმოწერის დრო, მაგრამ გამოყენებისას, თავდამსხმელის წვდომა ზონის ფაილზე საშუალებას აძლევს მას დაამატოს დაუცველი ჩანაწერი, რამაც შეიძლება მომავალში პრობლემები გამოიწვიოს.

მოქმედების მექანიზმი
ვთქვათ, გვინდა გავიგოთ მისამართი test.bar.example.com:
  1. ჩვენ ვითხოვთ დომენის სახელს გადამწყვეტისგან;
  2. გადამწყვეტი აყენებს DO ბიტს და ითხოვს test.bar.example.com root სერვერიდან;
  3. გადამწყვეტმა იცის, რომ ძირეული დომენის ზონა ხელმოწერილია - მას აქვს გასაღები ან კლავიშის ჰეში (ე.წ. Trust-anchor), ამიტომ სთხოვს root სერვერს DNSKEY ჩანაწერებს root ზონისთვის და ადარებს რას იღებს. რა არის ხელმისაწვდომი;
  4. Root სერვერმა არ იცის ასეთი დომენის სახელი და ზოგადად ყველაზე მეტი რაც იცის არის რომელ სერვერებზეა განთავსებული com zone, ის აცნობებს ამ სერვერების მისამართებს ჩვენს გადამწყვეტს და ხელმოწერილ DS ჩანაწერს com ზონისთვის;
  5. გადამწყვეტი ამოწმებს DS ჩანაწერს მიღებული და დამოწმებული ZSK root ზონის გასაღებით;
  6. ახლა გადამწყვეტმა იცის, რომ com ზონა ხელმოწერილია, ამიტომ ის თავის DNS სერვერს სთხოვს DNSKEY-ს და ამოწმებს მათ, რის შემდეგაც იკითხავს bar.example.com-ის შესახებ. ბუნებრივია, com ზონის სერვერმა არ იცის ამის შესახებ, მან მხოლოდ იცის, რომ example.com ზონა ცხოვრობს ns.example.com-ზე და ns1.example.com-ზე და ეს არის ზუსტად ის, რასაც ის პასუხობს გადამწყვეტთან ერთად - დიახ, დიახ - DS ჩანაწერი;
  7. ასე რომ, გადამწყვეტმა შექმნა ნდობის ჯაჭვი example.com-ზე, სადაც ის ცნობს bar.example.com ზონის სახელების სერვერებს და მის DS-ს;
  8. საბოლოო ჯამში, გადამწყვეტი განმეორებით აღმოაჩენს DNS სერვერების მისამართებს, რომლებიც პასუხისმგებელნი არიან bar.example.com-ზე, მიდის მათთან და საბოლოოდ იღებს იმას, რაც მას სურს, ამოწმებს ყველა ინფორმაციას და გვაწვდის მისამართის ჩანაწერს, აყენებს AD bit-ს. პასუხი.
თუ რაიმეს დადასტურება შეუძლებელია, გადამწყვეტი დააბრუნებს servfail-ს.
ეფექტები
  1. გამავალი ტრაფიკი ავტორიტეტულ DNS სერვერზე იზრდება დაახლოებით 4-ჯერ;
  2. ზონის ფაილის ზომა ხელმოწერის შემდეგ (OPT-OUT-ის გარეშე) იზრდება 6-7-ჯერ;
  3. გასაღების სიგრძის გაზრდა იწვევს გადამწყვეტის qps შესამჩნევ შემცირებას, ეს გავლენას ახდენს ავტორიტეტულ სერვერზე;
  4. პირიქით, იზრდება გამეორებების რაოდენობა NSEC3-ის გამოყენებისას;
  5. DNSSec იწვევს DNS პასუხის მნიშვნელოვან ზრდას და, შესაბამისად, აუცილებელია, რომ ქსელის ყველა მოწყობილობამ სწორად იმუშაოს 512 ბაიტზე მეტი DNS პაკეტებით.

რატომ არის ეს საჭირო?

რთული კითხვაა. პირველ რიგში, მხედველობაში უნდა იქნას მიღებული შექმნილი ეფექტები; მეორეც, აუცილებელია გასაღების საიმედო შენახვის ორგანიზება; მესამე, კლავიშების ბრუნვის მონიტორინგი; მეოთხე, აკონტროლეთ ხელმოწერების ვადის გასვლის თარიღი; მეხუთე, DNSSec აძლიერებს გაძლიერებული ddos-ის ეფექტს.
ეს ყველაფერი გადასახდელი ფასია იმისთვის, რომ დარწმუნებული იყოთ იმ ინფორმაციაში, რომელსაც იღებთ ავტორიტეტული DNS სერვერებიდან. თუმცა, ახლა საზოგადოებამ მოიფიქრა კიდევ რა შეიძლება შეიტანოს DNSSec-ში, რათა შესაძლებელი იყოს მისი მონეტიზაცია, ზოგი კი ძალიან გაბედულ და საინტერესო კითხვებს სვამს, მაგალითად, ფილ რეგნოლდი, AFNIC სამეცნიერო საბჭოს წევრი, რომელმაც იკითხა "დაანგრევს DNSSEC სერტიფიკატების ინდუსტრიას?" ამ საბჭოს სემინარზე.

ICANN-ის პრესრელიზის თანახმად, დომენის სახელისა და IP მისამართების მართვის კორპორაცია, ICANN, აფრთხილებს გლობალურ ქსელში შესაძლო შეფერხების შესახებ დაშიფვრის გასაღების განახლების გამო დაშიფვრის გასაღების განახლების გამო, DNSSEC პროტოკოლის გამოყენებით.

DNSSEC დაშიფვრის გასაღებები პირველად განახლდება მას შემდეგ, რაც სისტემა ამოქმედდა 2010 წლის 15 ივლისს, როდესაც ხელი მოეწერა ძირის ზონას, რომელსაც ზოგჯერ უწოდებენ "წერტილს", ანუ ზედა დონის დომენების ზემოთ მდებარე ზონას, როგორიცაა . com., .ru., .org , .net. და სხვა (ბრაუზერის ინტერფეისებში ბოლო წერტილი ჩვეულებრივ გამოტოვებულია). გადაწყვეტილების ხელახალი გაცემის შესახებ "Key Signing Key" ან KSK ძირეული ზონისთვის რამდენჯერმე გადაიდო, თავდაპირველი გეგმა იყო ძირეული ზონის ხელახალი ხელმოწერა უსაფრთხოების მიზნებისთვის - პირველი გასაღების გამოცვლა იყო დაგეგმილი; 2015 წელი. ICANN-ის შეშფოთება არის ის, რომ ყველა DNSSEC ჩართული DSN სერვერი არ გადაერთვება ახალი დაშიფვრის გასაღების გამოყენებაზე: სერვერები, რომლებიც ერთხელ იყო კონფიგურირებული, შესაძლოა მთელი ამ ხნის განმავლობაში სწორად მუშაობდნენ, მაგრამ მათ მფლობელებს შესაძლოა არ განიხილონ KSK-ის განახლების შესაძლებლობა.

მარტივი DNSSEC კონფიგურაციის სერვისი დომენის მფლობელებისთვის რუსული სეგმენტიდან, ანუ ru, „рф“ და სუ ზონებში, უზრუნველყოფილია მხოლოდ სამი რეგისტრატორის მიერ, რომლებიც ასევე ფლობენ საკუთარ DNS სერვერებს: nic.ru, reg.ru და webnames.ru. ჯერჯერობით, პროტოკოლი განსაკუთრებით პოპულარული არ არის: 5,6 მილიონი რუსული დომენიდან, „საკოორდინაციო ცენტრის“ სტატისტიკის მიხედვით, რომელიც არეგულირებს რუსეთის ზონებს, DNSSEC მხარდაჭერით დომენების რაოდენობა 2018 წლის სექტემბრისთვის არ აღემატება 3000-ს, თუმცა მათ შორისაა. ყველაზე დიდი და ყველაზე პოპულარული რესურსები Runet. ამავდროულად, ყველაზე პოპულარული სერვისი რუსულ დომენის მფლობელებს შორის, Yandex Connect, არ უჭერს მხარს DNSSEC-ს, თუმცა Yandex.DNS უზრუნველყოფს უსაფრთხო პროტოკოლის მხარდაჭერას სახლის მომხმარებლებისთვის. დომენის გლობალურ სივრცეში, DNSSEC-ის გამოყენებით უფრო მეტი დომენის სიდიდის ბრძანებებია: statdns-ის მიხედვით, მხოლოდ კომის ზონაში არსებული 135 მილიონი დომენიდან, თითქმის მილიონი დომენის სახელია DNSSEC-ით.

განახლების კომენტარებში სამივე რუსი რეგისტრატორი, რომლებიც მხარს უჭერენ DNSSEC-ს, აცხადებენ, რომ ისინი მზად არიან შეცვალონ KSK, ისინი ამჟამად მუშაობენ ძველი გასაღებით აქტიურ რეჟიმში და ახალი გასაღებით, რომლის საჯარო ნაწილი გამოქვეყნდა ICANN-ის მიერ სექტემბერში; 11, 2017, - პასიურ რეჟიმში. ICANN-ის ბრძანებით, რეგისტრატორები მზად არიან შეცვალონ გასაღებების სტატუსი და არ ელიან წარუმატებლობას. საკუთარი დომენის რეზოლუციის სერვერების უმსხვილესმა მფლობელებმა, რომლებიც არ არიან რეგისტრატორებიდან, Rostelecom, Megafon, Beeline და MTS, განაცხადეს RBC– ს კომენტარებში, რომ ისინი ასევე მზად არიან შეცვალონ გასაღები. თუმცა, შეუძლებელია პროგნოზირება, გამოიწვევს თუ არა KSK ცვლილება მცირე DNS სერვერების მფლობელების წარუმატებლობას, მაგალითად, პროვაიდერებს პატარა ქალაქებში, თუმცა ICANN აქტიურად მუშაობს პროვაიდერების ტექნიკურ ადმინისტრატორებთან, ტელეკომის ოპერატორებთან და სხვა კომპანიებთან, რომლებიც უშუალოდ მუშაობენ. ინტერნეტ ინფრასტრუქტურით.

DNS ან Domain Name System სერვისი შეიქმნა თითქმის ერთდროულად დომენების დანერგვასთან 1980-იან წლებში. დომენის სახელზე (მაგალითად, ვებსაიტზე) წვდომისას DNS სერვისის საშუალებით, ინტერნეტ სერვისის პროვაიდერი პოულობს დომენის სახელთან შესაბამის IP მისამართს (მაგალითად, 87.236.16.85). დომენის მფლობელები მიუთითებენ ეგრეთ წოდებულ „რესურსების ჩანაწერებზე“ (მაგალითად, * A 87.236.16.85) საკუთარ DNS სერვერებზე (მაგალითად, ns1.beget.com). სხვა DNS სერვერები აკოპირებენ ამ ჩანაწერებს დროთა განმავლობაში და ქმნიან მათგან ქეშს, რათა ყოველ ჯერზე არ დაუკავშირდნენ ორიგინალ სერვერს. DNSSEC-ის შემოღებამდე, DNS სერვერები უპირობოდ ენდობოდნენ ერთმანეთის ინფორმაციას, რამაც ისინი გახადა დაუცველი თავდამსხმელების მიერ შეტევების მიმართ, რათა „მოწამლონ ქეში“, ანუ უზრუნველყონ „სარწმუნო“ DNS სერვერს ჩანაწერით, რომელიც ცვლის IP მისამართს თავდამსხმელის მისამართით. . ამრიგად, დიდი რესურსების, ონლაინ ბანკების, სოციალური ქსელების, საძიებო სერვისების და სხვა საიტების ვიზიტორები შეიძლება გადამისამართდნენ ყალბ რესურსზე.

DNS ქეშის მოწამვლისა და სხვა საფრთხეების აღმოსაფხვრელად შემუშავდა „DNS Security Extensions“ ან DNSSEC. გაფართოებული პროტოკოლის განხორციელება შენელდა სერვერების გამოთვლითი სიმძლავრის და ქსელების მაღალი დატვირთვის გამო. გამარტივებულმა DNSSEC-bis პროტოკოლმა, რომელიც უკუთავსებადია DNS სისტემასთან, შემოიტანა ნაკლები გამოთვლითი ინტენსიური ელექტრონული სერთიფიკატების კასკადი ძირეული ზონიდან ცალკეულ დომენებამდე, რომელთა შემოწმებაც DNS სერვერებს შეეძლოთ ყოველი მოთხოვნის ავთენტურობის შესახებ. ძირეული ზონის KSK საჭიროებს პერიოდულ განახლებას: 2010 წელს შექმნილი 1024-ბიტიანი გასაღები KSK-2010, გართულდა 2017 წელს 2048-ბიტიან KSK-2017-თან, მსოფლიო გამოთვლითი სიმძლავრის გაზრდის საპასუხოდ, რაც შეიძლება საკმარისი იყოს. შიფრის შესარჩევად.

DNS სახელების გადაწყვეტის სისტემები, რომლებიც თანამედროვე ქსელური საკომუნიკაციო სისტემის ერთ-ერთი საფუძველია, შეიქმნა 20 წელზე მეტი ხნის წინ, როდესაც თითქმის არ იყო ფიქრი ინფორმაციის უსაფრთხოების საკითხებზე. DNS სისტემის ერთ-ერთი მთავარი მინუსი არის DNS მოთხოვნაზე პასუხის გაყალბების შესაძლებლობა.

პრობლემა ის არის, რომ DNS სერვერის პასუხის ავთენტურობა არანაირად არ არის დამოწმებული, რაც იმას ნიშნავს, რომ თუ DNS სერვერი გატეხილია (და გადამისამართებულია ცრუ DNS სერვერებზე), DNS ჩანაწერები დარღვეულია, ან ხდება DNS ქეშის მოწამვლა, მომხმარებელი შეიძლება გაიგზავნოს თვითნებურ IP მისამართზე და მომხმარებელი იქნება სრული დარწმუნებული, რომ მუშაობს ლეგიტიმურ საიტთან ან სერვისთან. ამ ტექნიკას ფართოდ იყენებენ თავდამსხმელები, გადამისამართებენ მომხმარებლებს მავნე კოდების შემცველ საიტებზე ან აგროვებენ მათ პერსონალურ მონაცემებს (პაროლები, საკრედიტო ბარათის ნომრები და ა.შ.) ე.წ. ფარმინგის შეტევები.

რატომ გვჭირდება DNSSEC ტექნოლოგია?

DNS უსაფრთხოების გაფართოებები (DNSSEC)– ტექნოლოგია, რომელიც შექმნილია DNS სერვისის უსაფრთხოების გაზრდის მიზნით, კრიპტოგრაფიული ხელმოწერების გამოყენებით, რაც საშუალებას აძლევს ადამიანს ცალსახად გადაამოწმოს DNS სერვერიდან მიღებული ინფორმაციის ავთენტურობა. იმათ. ყველა მოთხოვნა და პასუხი DNSSEC-ზე ჩართული DNS სერვერიდან უნდა იყოს ციფრული ხელმოწერილი, რომლის ავთენტურობა შეიძლება გადაამოწმოს კლიენტს საჯარო გასაღების გამოყენებით. ეს ციფრული ხელმოწერები იქმნება ზონის ხელმოწერისას (მასზე გამოიყენება DNSSEC).

გამარტივებული გზით, DNSSEC გადამოწმების მექანიზმი მუშაობს ასე: კლიენტი აგზავნის მოთხოვნას DNS სერვერზე, სერვერი აბრუნებს DNS პასუხს ციფრული ხელმოწერით. იმიტომ რომ კლიენტს აქვს სერტიფიკატის ორგანოს საჯარო გასაღები, რომელმაც ხელი მოაწერა DNS ჩანაწერებს, მას შეუძლია ხელმოწერის გაშიფვრა (ჰაშის მნიშვნელობა) და გადაამოწმოს DNS პასუხი. ამისათვის, როგორც კლიენტი, ასევე DNS სერვერი უნდა იყოს კონფიგურირებული, რომ გამოიყენონ იგივე ნდობის წამყვანი. ნდობის წამყვანი– წინასწარ კონფიგურირებული საჯარო გასაღები, რომელიც დაკავშირებულია კონკრეტულ DNS ზონასთან. თუ DNS სერვერი მხარს უჭერს მრავალ ზონას, მაშინ შეიძლება გამოყენებულ იქნას მრავალი ნდობის წამყვანი.

მნიშვნელოვანია აღინიშნოს, რომ DNSSEC-ის მთავარი მიზანია დაცვა გაყალბებისგან და DNS მოთხოვნებისა და პასუხების მოდიფიკაციისგან. მაგრამ თავად ქსელში გადაცემული მონაცემები არ არის დაშიფრული (თუმცა გადაცემული DNS მონაცემების კონფიდენციალურობა შეიძლება უზრუნველყოფილი იყოს დაშიფვრის გამოყენებით, მაგრამ ეს არჩევითია და არ არის DNSSEC-ის მთავარი მიზანი).

DNSSEC-ის ძირითადი კომპონენტები განისაზღვრება შემდეგ RFC-ებში:

  • RFC 4033
  • RFC 4034
  • RFC 4035

DNSSEC Windows სისტემებზე

DNSSEC ტექნოლოგიის მხარდაჭერა გამოჩნდა Windows Server 2008 R2-სა და Windows 7-ში. თუმცა, პარამეტრების სირთულისა და არააშკარაობის გამო, იგი ფართოდ არ გამოიყენებოდა. DNSSEC-მა მიიღო მისი შემდგომი განვითარება Windows Server 2012-ში, რომელშიც DNSSEC-ის ფუნქციონალობა მნიშვნელოვნად გაფართოვდა და იძლევა კონფიგურაციის საშუალებას გრაფიკული ინტერფეისის საშუალებით.

ამ სტატიაში ჩვენ აღვწერთ DNSSEC-ის ძირითად ინსტალაციას და კონფიგურაციას, რომელიც დაფუძნებულია Windows Server 2012-ზე გაშვებული DNS სერვერზე, რომელიც ქმნის ხელმოწერილ ზონას და ნდობის წერტილებს.

DNSSEC-ის ინსტალაცია და კონფიგურაცია Windows Server 2012-ში

მოდით შევქმნათ ახალი DNS ზონა dnssec.contoso.com და დავამატოთ SRV12 სერვერის ერთი ჩანაწერი 192.168.1.14 მისამართით.

შენიშვნა. Windows 8/2012-ში, nslookup უტილიტის ნაცვლად, DNS სერვერიდან ინფორმაციის მისაღებად, უმჯობესია გამოიყენოთ Powershell cmdlet Resolve-DnsName.

Resolve-DnsName srv12.dnssec.contoso.com –სერვერი SRV12-SUB-CA –DnssecOk

იმიტომ რომ ზონა არ არის ხელმოწერილი, მოთხოვნა არ დააბრუნებს RRSIG ჩანაწერებს.

მოდით ხელი მოვაწეროთ შიდა DNS ზონას dnssec.contoso.com ციფრული სერტიფიკატით. ამისათვის DNS კონსოლში დააწკაპუნეთ ზონაზე მარჯვენა ღილაკით და აირჩიეთ DNSSEC->ხელმოწერეთ ზონა.

Zone Signing Wizard-ში, რომელიც გამოჩნდება, დატოვეთ ყველა ნაგულისხმევი პარამეტრი (გამოიყენეთ ნაგულისხმევი პარამეტრები ზონის გასაფორმებლად) -> შემდეგი -> შემდეგი -> დასრულება.

ოსტატის დასრულების შემდეგ, ხელმოწერილ ზონაში ავტომატურად შეიქმნება შემდეგი ახალი რესურსის ჩანაწერები:

  • RRSIG (Resource Read Signature) - რესურსის ჩანაწერის ხელმოწერა
  • DNSKEY (საჯარო გასაღები) – ინახავს გასაღების საჯარო ნაწილს და მის იდენტიფიკატორებს
  • DS (Delegation Signer) – შეიცავს მემკვიდრის დომენის სახელის ჰეშს და მის KSK კლავიშს
  • NSEC (Next Secure) და NSEC3 (Next Secure 3) – გამოიყენება საიმედო დაცვისთვის გაყალბების შეტევებისგან

ზონის ხელმოწერის შემდეგ, საჯარო გასაღები შეინახება ფაილში %windir%\system32\dns\keyset-dnssec.

ჩვენ ზონის საჯარო გასაღების (იგივე ნდობის წამყვანის) იმპორტს ვახდენთ DNS-ში Trust Point განყოფილებაში გადასვლით DNS კონსოლში, არჩევით import -> DNSKEY და მიუთითებთ ბილიკს keyset-dnssec-მდე.

შენიშვნა. ეს გასაღები უნდა განაწილდეს ყველა DNS სერვერზე, რომელიც მიიღებს მონაწილეობას ხელმოწერილი ზონის მონაცემების უსაფრთხო ქეშირების პროცესში.

გასაღების იმპორტის შედეგად, განყოფილებაში Trust Points -> dnssec გამოჩნდება DNSKEY ტიპის ორი გასაღები (ერთი კლავიში აქტიურია, მეორე ლოდინის რეჟიმში).

Windows Server 2012-ში შესაძლებელია Trust Anchors კლავიშების ავტომატურად გამეორება დომენის ყველა კონტროლერზე ტყეში, რომელიც ემსახურება მოცემულ DNS ზონას. ამისათვის ჩანართზე სასურველი ზონის (dnssec) თვისებებში ენდობა წამყვანიჩართეთ ვარიანტი ჩართეთ ნდობის წამყვანების განაწილება ამ ზონისთვისდა შეინახეთ ცვლილებები.

შევეცადოთ კიდევ ერთხელ გამოვკითხოთ ეს ზონა კლიენტისგან.

როგორც ვხედავთ, DNS სერვერის პასუხი შეიცავს ინფორმაციას RRSIG ჩანაწერისა და ციფრული ხელმოწერის შესახებ.

Windows-ის კლიენტების კონფიგურაცია DNSSEC-ის გამოსაყენებლად

რათა აიძულონ Windows კლიენტები გამოიყენონ მხოლოდ "უსაფრთხო" (DNSSEC) მოთხოვნები, ე.ი. DNS მონაცემების მისაღებად მხოლოდ იმ შემთხვევაში, თუ მისი ციფრული ხელმოწერა სწორია, აუცილებელია გამოიყენოთ NRPT (Name Resolution Policy Table) პოლიტიკა GPO-ს გამოყენებით.

ამისათვის GPO განყოფილებაში კომპიუტერის კონფიგურაცია -> პოლიტიკა -> Windows პარამეტრები -> სახელის რეზოლუციის პოლიტიკაჩანართზე DNSSECჩართეთ პარამეტრები:

  • ჩართეთ DNSSEC ამ წესში
  • მოითხოვეთ DNS კლიენტებისგან, რომ შეამოწმონ, რომ სახელი და მისამართის მონაცემები დამოწმებულია DNS სერვერის მიერ

რჩება მხოლოდ პოლიტიკის მინიჭება სასურველ OU-ზე. პოლიტიკის გამოყენების შემდეგ, დარწმუნდით, რომ კლიენტი კონფიგურირებულია „უსაფრთხო“ DNS-ის გამოსაყენებლად:

Get-DnsClientNrptპოლიტიკა

მნიშვნელობა DNSSecValidationRequired=True, ე.ი. კლიენტისთვის საჭიროა DNS პასუხების სავალდებულო ვალიდაცია.

თუ DNS სერვერიდან მიღებული პასუხი არ არის ხელმოწერილი, ან ხელმოწერილია არასწორი სერთიფიკატით, ბრძანება დააბრუნებს შეცდომას დაუცველი DNS პაკეტი.

DNSSEC გარე ზონებისთვის

იმისათვის, რომ DNS სერვერმა მოითხოვოს სავალდებულო DNSSEC შემოწმება გარე ზონებისთვის, თქვენ უნდა გადახვიდეთ მის თვისებებზე ჩანართზე Მოწინავეპარამეტრის ჩართვა ჩართეთ DNSSEC ვალიდაცია დისტანციური პასუხებისთვის.

შეგიძლიათ root ზონის ნდობის წამყვანების იმპორტი ხელით (ზემოთ აღწერილი) ან ბრძანების გამოყენებით:

Dnscmd / RetrieveRootTrustAnchors

რჩევა. იმისათვის, რომ DNSSEC-მა სწორად იმუშაოს, საჭიროა მთელი რიგი ცვლილებების შეტანა Firewall-ში:

  1. გახსენით TCP და UDP პროტოკოლების 53 პორტი ორივე მიმართულებით
  2. იმიტომ რომ მონაცემთა ზომა DNSSec პაკეტში აღემატება 512 ბაიტს, აუცილებელია 512 ბაიტზე მეტი DNS პაკეტების დაშვება UDP და TCP-ში.

ნახეთ ვიდეო გაკვეთილი

DNSSEC არის DNS პროტოკოლის გაფართოება, რომელიც იყენებს DNS მონაცემების ციფრულ ხელმოწერას დომენის სახელის გადაწყვეტის პროცესის უზრუნველსაყოფად. ზოგადი ინფორმაცია DNSSEC და მისი გამოყენების შესახებ შეგიძლიათ იხილოთ https://tools.ietf.org/html/rfc6781.

შენიშვნა. DNSSEC მხარდაჭერა ხელმისაწვდომია Plesk-ში Linux-ისთვის. ჰოსტინგის პროვაიდერმა უნდა დააინსტალიროს გაფართოება Plesk DNSSECპლესკში.

თქვენ შეგიძლიათ გააკეთოთ შემდეგი თქვენი დომენის DNS მონაცემების დასაცავად DNSSEC-ის გამოყენებით:

  • მონიშნეთ ზონები ან მონიშნეთ ზონები DNSSEC სპეციფიკაციების მიხედვით
  • (სურვილისამებრ) მიუთითეთ ინდივიდუალური პარამეტრები გასაღებების შესაქმნელად
  • მიიღეთ შეტყობინებები
  • ნახეთ და დააკოპირეთ DS რესურსების ჩანაწერები
  • ნახეთ და დააკოპირეთ DNSKEY რესურსების ჩანაწერების ნაკრები.
დომენის ზონის ხელმოწერა

თქვენი DNS ზონისთვის DNSSEC დაცვის გამოყენების დასაწყებად, ხელი მოაწერეთ ზონას. Plesk ხელს აწერს ზონას ავტომატურად გენერირებული ხელმოწერებით ორი წყვილი ასიმეტრიული გასაღების გამოყენებით: გასაღების ხელმოწერისთვის - Key Signing Key (KSK) და ზონის ხელმოწერისთვის - Zone Signing Key (ZSK).

დომენის ზონის გასაფორმებლად:

მიმდინარეობს DS ჩანაწერების განახლება მშობლის ზონაში

თუ მშობელი ზონა შეიცავს მოძველებულ DS ჩანაწერებს, დომენის სახელი აღარ არის გადაწყვეტილი DNS-ით.

თქვენ ხელით უნდა დაამატოთ ან განაახლოთ DS ჩანაწერები მშობლის ზონაში ყველა შემთხვევაში, როდესაც DNSSEC გასაღებები განახლებულია, შემდეგნაირად:

  • თქვენ მოაწერეთ ხელი დომენის ზონას ახლად შექმნილი გასაღებების გამოყენებით.
  • KSK (Key Signing Key) განახლებულია.

Plesk გიგზავნით შეტყობინებებს და გაძლევთ გარკვეულ დროს თქვენი DS ჩანაწერების განახლებისთვის - დროის ეს პერიოდი უდრის KSK განახლების ერთ პერიოდს. ამ პერიოდის განმავლობაში, წინა DS ჩანაწერები კვლავ ძალაშია.

თუ თქვენ წაშალეთ დომენის ზონის ხელმოწერა, ხელით უნდა წაშალოთ DS ჩანაწერები საწყისი დომენის ზონიდან.

DS ჩანაწერების განახლებისთვის მშობლის ზონაში:

დომენისთვის Plesk-ში, რომლის მთავარი ზონა არის Plesk-ის გარეთ, განაახლეთ DS ჩანაწერები თქვენი დომენის რეგისტრატორთან.

Plesk-ში განთავსებული დომენის ქვედომენისთვის, რომლის DNS ზონა მდებარეობს Plesk-ში:

  1. გადადით მშობელი დომენის DNS პარამეტრების გვერდზე ( ვებსაიტები და დომენები> მშობელი დომენი > DNS პარამეტრები).
  2. დაამატეთ ახალი ჩანაწერები, როგორიცაა დ.ს. (Დაამატე ჩანაწერი) და ჩასვით ველში Plesk-ის მიერ ნაჩვენები მნიშვნელობები DS რესურსის ჩანაწერებიქვედომენის DNSSEC პარამეტრებში.
დომენის ზონის ხელმოწერის წაშლა

დომენის ზონის ხელმოწერის წაშლა გამორთავს DNSSEC დაცვას ამ ზონისთვის. შეიძლება დაგჭირდეთ ზონის ხელმოწერის ამოღება, თუ გასაღებები გატეხილია, ასე რომ თქვენ შეგიძლიათ ხელახლა მოაწეროთ ზონა ახალი კლავიშებით.

დომენის ზონის ხელმოწერის მოსაშორებლად:

  1. Გადადით გვერდზე ვებსაიტები და დომენები> აირჩიეთ დომენი > DNSSECდა დააჭირეთ ხელმოწერის ამოღება.
  2. წაშალეთ DS რესურსის ჩანაწერები მშობელი ზონიდან. წინააღმდეგ შემთხვევაში, დომენის სახელი არ გადაწყდება.

შენიშვნა. როდესაც თქვენ წაშლით ზონის ხელმოწერას, გასაღებები არ იშლება Plesk-დან. თქვენ შეგიძლიათ ხელახლა მოაწეროთ ზონა იმავე კლავიშების გამოყენებით.

DNSKEY რესურსის ჩანაწერების ნახვა

შეიძლება დაგჭირდეთ DNSKEY რესურსის ჩანაწერების მიღება, რომლებიც შეიცავს დომენისთვის გამოყენებული Key Signing Keys-ის საჯარო ნაწილებს.

DNSKEY ჩანაწერების სანახავად:

  1. Გადადით გვერდზე ვებსაიტები და დომენები> აირჩიეთ დომენი > DNSSEC.
  2. დააწკაპუნეთ ნახეთ DNSKEY ჩანაწერები.

დატოვეთ თქვენი გამოხმაურება ამ თემაზე აქ

თუ თქვენ გაქვთ შეკითხვები ან გჭირდებათ მხარდაჭერა, ეწვიეთ Plesk ფორუმს ან დაუკავშირდით თქვენს ჰოსტინგის პროვაიდერს.
ქვემოთ მოცემული კომენტარები მხოლოდ დოკუმენტაციის შესახებ გამოხმაურებისთვისაა. დროული პასუხები ან დახმარება არ იქნება მოწოდებული.

გთხოვთ, ჩართოთ JavaScript კომენტარების სანახავად.

გაქვთ შეკითხვები?

შეატყობინეთ შეცდომას

ტექსტი, რომელიც გაეგზავნება ჩვენს რედაქტორებს:

გაგზავნა