我的任务是提高特定服务的安全性。经过对需求的一些分析,我们得出结论,指定需求的某个方面只能通过使用 DNSSEC 来满足。
我在信息安全和密码学方面拥有丰富的经验,并且我相信我了解 DNSSEC 的一般原则。但是我没有动手经验。
通常,此类新技术首先会部署到我们主域名的子域中。但 DNSSEC 似乎无法实现这种方法,因为正确的部署涉及从根服务器到子域的全程签名。我们的域目前没有 DNSSEC,并且托管服务提供商不支持 DNSSEC。
通过单独的托管服务提供商购买实验性域可能是一种选择,但由于缺乏 DNSSEC 的实践经验,我不知道在这样的托管服务提供商中寻找什么。
我还考虑过使用众多服务之一,在这些服务中,人们可以获得具有动态 DNS 的免费子域。然而,到目前为止,我所看到的供应商都没有支持 DNSSEC。
为了获得我需要的经验,下一步应该采取什么明智的措施?
我最近将 dnssec 添加到了一些域中,这里有一些来自该经验的随机注释和提示:
首先,确保您的域名注册商支持 DNSSEC。有些会,有些(例如namecheap)不会。如果您的注册商不支持 dnssec(即没有在父级别为您的域添加 DS 记录的方法),您需要先切换注册商。
根据您使用的 dns 服务器,对域进行签名可以是一项几乎自动化的琐碎任务,也可以是一项相当复杂的手动操作。我的主要 dns 是 Windows DNS,您可以在其中右键单击一个区域,选择 DNSSEC/sign...,然后一个向导将带您完成整个过程。
设置一个测试域并在该域上完成整个过程,然后再在真正的 prod 域上进行操作。如果出现问题,您可以让使用 DNSSEC 验证解析器(例如 Google DNS)的用户离线您的域,因此首先在未使用的域上进行测试是一个非常好的主意。
GetDS 是 linux 上的一个简洁工具,可以帮助您排除故障并验证您的设置。
另一个有助于验证配置的有用工具是这个站点:http ://dnscheck.iis.se/