Question Ajouter un enregistrement DS au parent dans le DNS


J'essaie de configurer DNSSEC pour mes domaines. Tout semble fonctionner mais j'obtiens l'erreur suivante:

DNSKEY a été trouvé chez l'enfant, mais aucune DS n'a été trouvée chez le parent.

Vérifier les enregistrements DS dans la zone parente

Nous avons constaté qu'aucun de vos enregistrements DNSKEY n'est publié chez le parent. Toutes les clés de signature de clé (KSK) doivent avoir un enregistrement DS correspondant contenant le résumé de la clé dans la zone parent.

Recommandation
  Publiez des enregistrements DS pour tous vos enregistrements DNSKEY (KSK) dans la zone DNS parent. Cela établira une chaîne de confiance entre le parent et votre zone.

Quelqu'un sait ce que le problème pourrait être?

J'utilise Webmin pour ma configuration BIND et il a une option appelée vérification DNSSEC et je pense que c'est fait via https://dlv.isc.org/.

J'ai fait une capture d'écran pour cela:

alt text


5
2017-09-14 08:55


origine




Réponses:


Le problème est exactement par le texte cité.

La validation des données signées DNSSEC nécessite soit:

  1. une chaîne de confiance complète de la zone racine à la vôtre, ou
  2. configuration d'une 'ancre de confiance' spécifique pour votre zone

Dans la plupart des cas, maintenant que la racine est réellement signée, la première est préférable. Tu as un DNSKEY dans votre zone, et vous devriez soumettre un DS enregistrer dans les administrateurs de votre zone parent. Ils signent ensuite cet enregistrement avec leur propre clé et, de la même manière, avec leur propre clé. DS les enregistrements sont envoyés à leur zone parente, qui peut être la racine.

Cela nécessite toutefois que chaque niveau du DNS entre votre domaine et la racine dispose également de DNSSEC.

Quel est ton domaine? Il est fort possible que votre domaine parent ne supporte pas encore DNSSEC.

Dans le cas contraire, la meilleure option consiste à soumettre votre enregistrement DS au référentiel "DLV" de l'ISC. Il s’agit d’une fonctionnalité DNS bien prise en charge qui permet une distribution sécurisée des ancres de confiance pour les domaines qui n’ont pas encore de chaîne de confiance entièrement sécurisée jusqu’à la "racine". Ajouter votre fiche ici permettra les autres gens pour valider votre nom de domaine.

MODIFIER  Le système DLV d’ISC n’est plus opérationnel.


7
2017-09-20 06:28



La zone .net n'est pas encore signée (à cause du 4Q2010, je crois). En attendant, vous pouvez soumettre votre enregistrement DS au fichier "DLV" de l'ISC - il s'agit d'un référentiel centralisé d'ancres de confiance. dlv.isc.org - Alnitak
Ok oui je suis à peu près sûr que c'est la chose que je devrais faire. J'utilise Webmin en tant qu'hébergement et propose l'option "Vérification DNSSEC". C'est une option sur l'écran principal de la configuration de BIND. Il était déjà activé, et il contient déjà quelques paramètres, quelques lignes pointant vers «dlv.isc.org». Je ne sais pas quoi faire avec cela. Je vais faire une capture d'écran et vous pourrez peut-être m'aider avec cela. Merci! - Saif Bechan
Ces paramètres webmin ne contrôlent que votre propre résolveur récursif local. Ajouter votre DS à DLV (et à .net, quand ils seront prêts) permettra les autres gens pour valider votre zone. Ignorez l’erreur précédemment signalée ("pas de DS dans le parent") à moins que cela ne vous empêche de publier votre zone. - Alnitak
Donc, si je vous comprends bien, je devrais tout laisser tel quel et ignorer les messages d'erreur. L'erreur ne me donne pas d'autres problèmes cependant, je voudrais qu'il soit sécurisé. Ou devrais-je toujours envoyer quelque chose à DLV? Je vois des personnes qui utilisent ZoneSigner pour publier la clé. Devrais-je le faire ou est-ce que Webmin le faisait déjà pour moi? - Saif Bechan
@OmidKosari demandez à votre registraire de domaine. S'ils ne peuvent pas vous aider, trouvez un nouveau registraire qui le pourra. - Alnitak