Skocz do zawarto軼i


 

Zdj璚ie

DNSSEC ma這 popularny

DNSSEC ma這 popularny

  • Prosz si zalogowa aby odpowiedzie
14 odpowiedzi na ten temat

DNSSEC ma這 popularny

#1 Fizyda

Fizyda

    Sta造 u篡tkownik

  • WHT Pro
  • PipPipPipPipPip
  • 498 post闚

Napisany 01 sierpie 2016 - 15:46

Jakie jest Wasze zdanie na temat DNSSEC, jest to coś czego powinno się używać czy nie?

 

Pytam ponieważ zauważyłem że bardzo dużo stron nie używa w ogóle dnssec, zastanawiam się jaki jest tego powód, jedyny jaki mi przychodzi do głowy to taki, że jest trochę zabawy z utrzymaniem dnssec. Trzeba podpisywać strefę co 30 dni (domyślnie) ponieważ ona wygasa, należy co jakiś czas zmieniać klucze KSK i ZSK, a to wymaga zaangażowania człowieka ponieważ należ zaktualizować rekordy DS.

 

Jaki jest powód że dnssec nie jest praktycznie w użyciu? Sprawdziłem nawet banki (kilka banków) nie używają go, google, facebook również, a to przecież największe serwisy.


Edytowany przez Fizyda, 01 sierpie 2016 - 15:52.

  • 0

#2 SiXwishlist

SiXwishlist

    Freedom Forever

  • Firma Bronze
  • PipPipPipPipPipPipPipPip
  • 2366 post闚
  • Sk康:Great Britain
  • Firma:SiXwishlist

Napisany 01 sierpie 2016 - 16:19

Tak powinno się tego używać jeżeli jest taka możliwość zwłaszcza jak posiadasz coś istotnego gdzie ważna jest gwarancja by nikt się np nie podszył. Co np można sprawdzić najlepiej tu: http://dnssec-debugg...erisignlabs.com

 

To co napisałeś na temat angażowania człowieka itd to trochę nie tak ponieważ tego typu sprawy opierasz na skryptach. DNSSEC nie jest łatwy do wdrożenia zwłaszcza jak dotyczy rozległej struktury serwerów z podziałem na wiele funkcji więc wydaje mi się że spore grono firm po prostu odpuściło sobie , to oczywiście jedynie moje odczucie.  


  • 0

#3 Fizyda

Fizyda

    Sta造 u篡tkownik

  • WHT Pro
  • PipPipPipPipPip
  • 498 post闚

Napisany 01 sierpie 2016 - 16:31

Zgadza się da się załatwić to za pomocą skryptów, ale tylko w przypadku gdy rejestrator udostępnia api, ja założyłem najgorszy scenariusz że takiego api nie ma, w tedy aktualizacja rekordów DS musi zostać dokonana ręcznie.

 

Dla mnie dziwne jest to że sprawdzając ipko (nie znam adresów paneli klientów innych banków stąd taki wybór) nie mają oni wdrożonego dnssec. Google.com i facebook.com również nie mają dnssec.

 

Czemu uważasz że to zależy od struktury serwerów. Nie da się rozbić raczej serwera DNS na kilka maszyn, a różnica między zwykłym DNS a DNSSEC jest taka że po aktualizacji strefy w przypadku drugiego należy wykonać dodatkową komendę i nic więcej. Dopytuję się i podważam trochę Twój argument ponieważ na pewno nie posiadam rozległej wiedzy w tej dziedzinie, dlatego też nie przekonałeś mnie nim. Jeśli możesz rozwiń trochę bardziej myśl, co może być przeszkodą we wdrożeniu DNSSECa.


  • 0

#4 SiXwishlist

SiXwishlist

    Freedom Forever

  • Firma Bronze
  • PipPipPipPipPipPipPipPip
  • 2366 post闚
  • Sk康:Great Britain
  • Firma:SiXwishlist

Napisany 01 sierpie 2016 - 16:50

Da się rozbić DNS i nazywa się to potocznie GeoDNS. Z tej opcji korzysta np paypal który również używa DNSSEC . My również posiadamy DNSSEC lecz sam DNS fizycznie siedzi na cloudflare ze względu na API które upraszcza nam funkcję dodania rekordów "A" dla serwerów dedykowanych itp.  Nie ma czasu tego zmienić mimo że oferujemy sami usługi DNS. 

Tu masz ładnie opisaną (EN) odpowiedź na twoje pytanie lecz nie ze wszystkim się osobiście zgadzam bo jak rzeczywiście przychodzi do zestawienia usługi o takim profilu potrafią pojawić się niezłe schody: http://security.stac...for-top-domains


  • 0

#5 Go嗆_Spoofy_*

Go嗆_Spoofy_*
  • Go軼ie

Napisany 01 sierpie 2016 - 16:51

Ja tam używam DNSSEC'a od kilku lat ;)

Zawsze jest to kolejna metoda walidacji ;)


  • 0

#6 Fizyda

Fizyda

    Sta造 u篡tkownik

  • WHT Pro
  • PipPipPipPipPip
  • 498 post闚

Napisany 01 sierpie 2016 - 17:24

Ja tam używam DNSSEC'a od kilku lat ;)

Zawsze jest to kolejna metoda walidacji ;)

 

Z Ciekawości jak poradziłeś sobie z wygasaniem podpisanej strefy? Długi czas życia czy może cron, albo opendnssec?

 

Mógłbyś powiedzieć jak w praktyce wygląda wymiana kluczy? Edytujesz DS czy może dodajesz nowe, a po aktualizacji usuwasz stare. Chodzi mi o to jak to zorganizować by nie było przerw w działaniu usługi, fakt nie potrzebuję tak niezawodnego rozwiązania w tej chwili, ale nie wiadomo co przyszłość przyniesie.

Ostatnia rzecz jaka mnie męczy to jak często wymieniać klucze, teoretycznie KSK może być zmieniany rzadziej niż ZSZ, ale nigdzie nie udało mi się znaleźć informacji o jakimś rekomendowanym czasie po którym powinno się zmieniać jeden albo drugi lub oba nawet. Z wyjątkiem wycieku kluczy.


  • 0

#7 Go嗆_Spoofy_*

Go嗆_Spoofy_*
  • Go軼ie

Napisany 01 sierpie 2016 - 17:40

 

Z Ciekawości jak poradziłeś sobie z wygasaniem podpisanej strefy? Długi czas życia czy może cron, albo opendnssec?

 

Mógłbyś powiedzieć jak w praktyce wygląda wymiana kluczy? Edytujesz DS czy może dodajesz nowe, a po aktualizacji usuwasz stare. Chodzi mi o to jak to zorganizować by nie było przerw w działaniu usługi, fakt nie potrzebuję tak niezawodnego rozwiązania w tej chwili, ale nie wiadomo co przyszłość przyniesie.

Ostatnia rzecz jaka mnie męczy to jak często wymieniać klucze, teoretycznie KSK może być zmieniany rzadziej niż ZSZ, ale nigdzie nie udało mi się znaleźć informacji o jakimś rekomendowanym czasie po którym powinno się zmieniać jeden albo drugi lub oba nawet. Z wyjątkiem wycieku kluczy.

 

rollerd + dnssec-tools + własne skrypty ;) :

 

	kskphase	"6"
	zskphase	"0"
	ksk_rolldate	"Thu Jan 28 00:47:28 2016"
	ksk_rollsecs	"1453938448"
	zsk_rolldate	"Fri Jul 22 09:19:33 2016"
	zsk_rollsecs	"1469171973"
	maxttl		"86400"
	display		"1"
	phasestart	"Mon Aug  1 14:40:20 2016"
	# optional records for RFC5011 rolling:
	istrustanchor	"no"
	holddowntime	"60D"

zonesigner:
 

Jul 30 14:36:12 2016: domena.com: KSK phase 2
Jul 30 14:36:12 2016: domena.com: executing "/usr/sbin/zonesigner -dtconfig /etc/dnssec-tools/dnssec-tools.conf -newpubksk -zone domena.com -krf /var/chroot/bind/etc/zones/domena.com.krf domena.com domena.com.signed"
Jul 30 14:36:13 2016: domena.com: reloading zone for KSK phase 2
Jul 30 14:36:13 2016: domena.com: KSK phase 3
Jul 30 14:36:13 2016: domena.com: KSK phase 3; cache expires in 2 days


P.S. Tutaj masz jakiegoś tutka: https://www.digitalo...d-dns-server--2 ;)


  • 1

#8 hsqva

hsqva

    Nowy u篡tkownik

  • Firma Bronze
  • 5 post闚

Napisany 01 sierpie 2016 - 18:33

Używać należy DNSSEC!

 

Temat DNS jest traktowany bardzo pobieżnie przez większość firm (resolver jak i autorytatywny DNS), a admini nie zagłębiają się  w nowinki techniczne jak choćby DANE, które w powiązaniu z DNSSEC dają ciekawe możliwośći.

 

Z drugiej strony registrarzy .PL nie ułatwiają zadania, bo muszą dostosować swoje systemy do EPP NASK, żeby móc obsługiwać DNSSSEC, a póki co jest ich bardzo mało. Wystarczy spojrzeć na listę NASK: http://www.dns.pl/po...ie/partner.html

 

 

Cytat z raportu NASK;

"W pierwszym kwartale 2016 roku średnio dziennie w DNS

przybywało 8,9nazw domeny .pl z wpisami potwierdzający
mi prawidłowe zabezpieczenie protokołem DNSSEC."

Edytowany przez hsqva, 01 sierpie 2016 - 18:36.

  • 0

#9 SiXwishlist

SiXwishlist

    Freedom Forever

  • Firma Bronze
  • PipPipPipPipPipPipPipPip
  • 2366 post闚
  • Sk康:Great Britain
  • Firma:SiXwishlist

Napisany 26 luty 2017 - 22:15

Ja tam używam DNSSEC'a od kilku lat ;)

Zawsze jest to kolejna metoda walidacji ;)

Odświeżam temat bo własnie od kilku tygodni testujemy obsługę DNSSEC dla naszych klientów. Powiedz mi ile domen obsługujesz o ile to nie tajemnica.


  • 0

#10 Metrix

Metrix

    Nowy u篡tkownik

  • Nowy
  • 3 post闚

Napisany 06 maj 2017 - 18:18

Witam forumowiczów, 

 

czy ktoś z was miał może problemy z transferem domeny używającej DNSSEC do operatora który go nie wspiera?

 

moja domena została przetransferowana ale DNSSEC się posypał. 

 

http://dnsviz.net/d/ekonomnom.pl/dnssec/ 

 

czy ktoś z was miał podobny problem?


  • 0

#11 SiXwishlist

SiXwishlist

    Freedom Forever

  • Firma Bronze
  • PipPipPipPipPipPipPipPip
  • 2366 post闚
  • Sk康:Great Britain
  • Firma:SiXwishlist

Napisany 06 maj 2017 - 18:31

Pamiętaj, że jeśli aktualizujesz serwery nazw, a DNSSEC jest włączony, Twoja domena może przestać działać. Aby tego uniknąć, upewnij się, że nowe serwery nazw są prawidłowo podpisane w strefie lub wyłącz DNSSEC dla twojej domeny by unikać podobnych sytuacji.


  • 0

#12 Metrix

Metrix

    Nowy u篡tkownik

  • Nowy
  • 3 post闚

Napisany 06 maj 2017 - 21:21

Zgadza się, i działać przestała ale tylko przez serwery goole bo tylko oni są restrykcyjni w tej kwestii. Teraz mam problem - jak ponownie podpisac domenę, albo jak dnssec wyłaczyć. 


  • 0

#13 kafi

kafi

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 3412 post闚

Napisany 06 maj 2017 - 21:53

Witam forumowiczów, 

 

czy ktoś z was miał może problemy z transferem domeny używającej DNSSEC do operatora który go nie wspiera?

 

moja domena została przetransferowana ale DNSSEC się posypał. 

 

http://dnsviz.net/d/ekonomnom.pl/dnssec/ 

 

czy ktoś z was miał podobny problem?

 

Precyzując - w przypadku domen .pl sam transfer nie powoduje naruszeń związanych z dnssec.

Problemy pojawiają się dopiero wtedy, gdy zmienisz delegację podpisanej domeny.

 

W związku z tym (oraz tym, że jest weekend) zmień delegację na poprzednie serwery (gdzie powinna ostać się jeszcze podpisana strefa) i negocjuj ze swoim nowym rejestratorem usunięcie kluczy dnssec. A jeżeli będzie to dla niego aż taki problem, to cóż, pozostanie ci złożyć skargę do NASK - może jak ich się trochę pojawi, to wpadną jak problem bogus delegation rozwiązać systemowo ;)


  • 0

#14 Metrix

Metrix

    Nowy u篡tkownik

  • Nowy
  • 3 post闚

Napisany 07 maj 2017 - 10:30

Dzięki!!! tak, zrobiłem i o dziwo już wszytsko gra - nie wiem jak to możeliwe, że tak szybko się rozpropagowało, ale nie bedę narzekał. 

 

teraz teraz jeszcze kilka godzin na teleofnie z supportem i może mi to wyłączą. Nowy rejestrator na wszystko ma jedną odpowiedż - "nie obsługujemy dnssec" a stary "to już nie nasza domena" :) 

 

przestroga dla potomnych niedoświadczonych jak ja: jak używasz dnssec to przed zmianą delegacji warto wyłączyć i lepiej rozeznać temat. 

 


  • 0

#15 HaPe

HaPe

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 1581 post闚
  • Sk康:Krak闚
  • Firma:www.9h.pl
  • Imi:Hubert
  • Nazwisko:Nod瘸k-Pluta

Napisany 07 maj 2017 - 19:48

Dzięki!!! tak, zrobiłem i o dziwo już wszytsko gra - nie wiem jak to możeliwe, że tak szybko się rozpropagowało, ale nie bedę narzekał. 

 

teraz teraz jeszcze kilka godzin na teleofnie z supportem i może mi to wyłączą. Nowy rejestrator na wszystko ma jedną odpowiedż - "nie obsługujemy dnssec" a stary "to już nie nasza domena" :)

 

przestroga dla potomnych niedoświadczonych jak ja: jak używasz dnssec to przed zmianą delegacji warto wyłączyć i lepiej rozeznać temat. 

 

 

Sam NASK przed tym ostrzega, dodatkowo na liście partnerów wyświetlają, kto wspiera DNSsec.


  • 0





0 u篡tkownik闚 czyta ten temat

0 u篡tkownik闚, 0 go軼i, 0 anonimowych u篡tkownik闚