[ipaddr.ru]

Как-то без больших откатов, публичности, но и без объявления войны.

 

; <<>> DiG 9.9.2-P1 <<>> +adflag ds ru.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59569
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ru.				IN	DS

;; ANSWER SECTION:
ru.			70922	IN	DS	14072 8 2 DFFBFE59FBBD3289D0C3819F05F94610A1E03B556D64540A2CC5F8C4 158A00E7

;; Query time: 0 msec
;; SERVER: ::1#53(::1)
;; WHEN: Fri Dec 21 20:26:12 2012
;; MSG SIZE  rcvd: 79

 

Алгоритм RSA/SHA-256, используется NSEC3 opt-out.

Edited December 21, 2012 by ipaddr.ru

[st_re]

Мне так кажется, что должны быть процедура подписи ключа подлежащих зон... иначе это все, как то, не имеет смысла.

[f13]

уже можно http://nic.ru/dns/domain/dnssec.html

[ipaddr.ru]

Сам реестр не подписывает ключи дочерних зон. Вы сами генерируете KSK и публикуете его дайджест в DS-записи. Руцентр дополнительно просит сам ключ (открытую часть).

[st_re]

На самом деле подписывает. сама зона ru то подписана, и наши DS лежат там... ну ок, назовите это как угодно. важно чтобы имея только способ проверить сертификат корневой зоны можно было по цепочке проверить валидность всех ответов до хоста.. до совсем недавнего времени это сделать было нельзя. пошел читать ник.ру..

[ipaddr.ru]

Э, да у вас каша в голове. DS - составная часть той самой цепочки доверия - это дайждест вашего ключа, отксоренный на ваш domainname. Ваш ключ хранится только у вас в зоне и вы решаете, как его использовать: подписать этим ключом ZSK или подписать этим ключом каждую запись в зоне (single-type signing scheme).

DS в родительской зоне подписаны ключами родительской зоны, но сами ключи не подписываются никем.

 

Собственно, DS:

ru.                     70922   IN      DS      14072 8 2 DFFBFE59FBBD3289D0C3819F05F94610A1E03B556D64540A2CC5F8C4 158A00E7

14072 - key ID (мы не знаем в этот момент, что это за ключ, ZSK или KSK)

8 - алгоритм ключа

2 - алгоритм дайджеста

DFFBFE59FBBD3289D0C3819F05F94610A1E03B556D64540A2CC5F8C4 158A00E7 - дайджест

 

     digest = digest_algorithm( DNSKEY owner name | DNSKEY RDATA);

     "|" denotes concatenation

    DNSKEY RDATA = Flags | Protocol | Algorithm | Public Key.

 

А вот это уже наши ключики из зоны .ru:

ru.			89099	IN	DNSKEY	256 3 8 AwEAAdr8Cuwz5w3KdGFuWVhG4C0G4kF/+uCgm4qLw4zLynMgh9KDrqDC
5JPDvtN/kaBToyvpo23YZs7XhFEW1lXENTmKR03O1gPCvqjm/ObHAAuV bR4PDCJVfQXCMhJzwrVVGD9KNThR7fn+BdYE061mNDfn+HM7oZh2XFaz 
gJJ8e9Qj
ru.			89099	IN	DNSKEY	257 3 8 AwEAAaPobiYPPlusuOISLB4W+rrtpki/1d4pFxEdpQnWmMCeqznKXQC/
AmIFopkUQHXl+v1AVy6e/dWaVxfSDMkHlRdf8qJSTTgnp1QyVsvA2bvjKIGYVVrgcyoj/O9rE02SLPko+fC6Ud5mS8f+GCuG+9T8
uvj1Qk28WbAiPgL6dFIL4AaEtlHpHF6FXtkv3DRft+Z+xWSBEwEGJJzp2v14s0qUhVdo
q2QqsnS6bUL9Z/GF5aroRvNYL2TD4w6pPm41eI6A83tavyBBvQQGl6nb
fkkZMm7Twiy+paZmfJJYyqveW4HSBMExMUv75Wj07nj1yRGMtCn9qIpe LR5bFQ83Hzc=

 

Тот, что с типом 256 - ZSK, а с установленным битом SEP (secure entry point) - 257 - KSK. И вот этот KSK имеет ID 14072.

Edited December 22, 2012 by ipaddr.ru

[ipaddr.ru]

RU-CENTER уже реализовал публикацию DS-записей в зоне .ru для своих клиентов. Я отправил первые 4 записи. Ждем обновления зоны.

[f13]

вот только не для 3 уровня, сцуки

[Картуччо]

А для непосвящённых можете объяснить, какой профит и как использовать ?

Точнее с профитом понятно, защита от левых днс серверов.

[ipaddr.ru]

Использовать довольно просто. Нужно в рекурсивном резолвере прописать DNSKEY корневой зоны (взять в зоне, на ftp.internic.net или на iana.org) и в options: dnssec-validation yes. Рабочую конфигурацию я показал, например, на ENOG1, восьмой слайд.

 

Профит, кстати, больше, чем просто защита. DNSSEC - это источник доверенных данных, см. DANE.

 

f13, DNSSEC в доменах третьего уровня обещался как минимум руцентром.

Edited December 25, 2012 by ipaddr.ru

[st_re]

Использовать довольно просто. Нужно в рекурсивном резолвере прописать DNSKEY корневой зоны (взять в зоне, на ftp.internic.net или на iana.org) и в options: dnssec-validation yes. Рабочую конфигурацию я показал, например, на ENOG1, восьмой слайд.

 

Профит, кстати, больше, чем просто защита. DNSSEC - это источник доверенных данных, см. DANE.

 

Я так понимаю, что если клиент хочет и проверяет DNSSEC (dnssec-validation yes для бинда), то у запроса стоит DO и не стоит CD.. Ахринеть...

 

берем query.log c NS и считаем флаги по запросам.....

463570 -

24386 C

1092394 D

609243 DC

 

т.е ~50% запросов на NSы навязчиво интересуется DNSSEC (3-я строка в списке, D это DO, C это CD, DC, сответственно оба флага. остальные флаги не учитывались). Я думал там все сильно скромнее. Интересно, есть ли дистрибутивы, где оно по умолчанию включено? Или все эти тысячи админов включали руками ? Странно, учитывая почти нулевое количество доменов с DNSSEC (хотябы без DS у парента). Не думаю, чтобы так массово включали проверку руками на ресоверах.

 

Свежие виндовые сервера (их ДНС сервера) вроде как дают DC в списке выше.. А, например, гугл (8.8.8.8) DO не ставит вообще. Как и dns.ix.ru.

[ipaddr.ru]

Bind примерно с версии 9.7 (т.е. уже года два) во многих дистрибутивах идёт с включенным dnssec-validation и прописанным KSK корневой зоны.

[st_re]

А, ну тогда понятно откуда столько (я вообще на серверах не ставлю бинд, везде используется централизованный ресолвер, и что и как там у меня настроено я в курсе, а что идет в дистрибутивах, не смотрел.). Да, в редхатах свежих включено все.. Во фре нет. Только вот админы сами подписывать зоны не начнут, пока в какойнить дистрибутив не внесут и автоматическую подпись :) И тогда останется придумать пряник для вноса DS в вышестоящую зону..

 

Веселый сайт dnssec.ru.. описывает как же нам подписать зону, вот только сама зона dnssec.ru не подписана. Да и вообще, nic.ru, тоже. и ripn.net. Известные мне банки тоже не озадачиваются. А уже регистраторы вообще бы могла автоматизировать все, если NSы (как минимум первичный) у них же, сами то они и DNSKEY/DS и сгенераят и в верхнюю зону впихнут..

[ipaddr.ru]

добро пожаловать на www.ipaddr.ru - эта зона подписана :)

 

Из хостеров я знаю только одного, который готов это сделать, но ему не хватает регистраторского API, позволяющего публиковать DS в .ru.

[st_re]

Гы.. http://dnssec-or-not.com/ проверь свой ресолвер :)

[ipaddr.ru]

Ну Бората я увидел.

Кстати, сделал график имплементации DNSSEC в зонах .ru и .рф - http://kaa.ru/dnssec/