Jak zprovoznit DNSSEC

Pravidelná údržba zóny a klíčů

Kryptografické klíče používané v DNSSEC sice nemají „datum expirace“ a teoreticky by tedy šly pro jednotlivé zóny neomezenou dobu používat stejné páry klíčů. Z praktického hlediska je ale klíče zapotřebí střídat proto, že čím déle je klíč veřejně viditelný, tím větší je pravděpodobnost, že bude prolomen hrubou silou. Právě proto je vhodné a doporučuje se pravidelnou výměnou klíčů preventivně chránit proti takovému prolomení.

Navíc datum expirace je ale uvedeno u podpisů jednotlivých zón, a právě nejpozději do tohoto data (ale doporučuje se nové klíče nasadit paralelně už nějakou dobu před tím) je nutné klíče vyměnit a záznamy podepsat novými klíči. V případě, že podpisy záznamů v zóně expirují, nepůjde již na straně uživatele ověřit všechny podpisy. Tím pádem budou záznamy v dané zóně považovány za nedůvěryhodné a zóna (a s ní i všechny služby, které používají příslušné adresy) přestanou fungovat!

Proto je nutné se o zóny zabezpečené pomocí DNSSEC pravidelně starat. Jak na to včetně obecně platných doporučení se dozvíte v kapitole Rotace klíčů v DNSSEC HOWTO.

Gratulujeme, nyní již máte DNSSEC zaveden a víte jak se o něj starat z pohledu poskytovatele služby. Nyní se můžete seznámit s tím, jak se pomocí DNSSECu chránit i na straně uživatele internetu.

Chci se dozvědět, jak se zabezpečit pomocí DNSSEC jako běžný uživatel