Názory k článku DNS: čas podepisování
-
Dobrý den,
ano, toto nastavení existuje (resp. existuje až od verze bind 9.4+).
dnssec-enable yes; znamená, že Bind posílá dotazy z DO (DNSSEC OK) bitem, ale DNSSEC se jinak nezpracovává.
dnssec-validation yes; bez nastaveného TA (resp. trusted-keys) také nic nedělá.
Podepsaná doména, ke které nemáte nakonfigurovaný TA, se bude zpracovávat jako nepodepsaná.
Kořenové nameservery reálně podepsané nejsou, zatím je podpis proveden pouze pomocí DURZ a "falešných" klíčů. Prosím neuvádějte do diskuzí vyložené nesmysly, které si neověříte (www.root-dnssec.org).
A pokud máte pocit, že v DNSSECu plavete, rádi vás uvítáme na školení, které v CZ.NICu pořádáme.
Díky,
Ondřej Surý -
anonymníJasne, neexistujici nastaveni:
dnssec-enable yes;
//dnssec-validation yes;
Nez napisu plk, tak si overim aspon zakladni informace, co ? Proc myslite ze je ta druha cast zakomentovana ?
K tomu patri samo jeste dalsi veci, jako trebas trusted-keys, kde mam klic pro cz.
=> podepsana domena ktery neduveruju = neresolvuje se a pokud neni kde vzit klic, neni ani cemu duverovat. A jelikoz, (jak jiste nevite) reverz zacina dotazem na koren, kterej (jak jiste neumite overit) je (ted cca mesic) podepsanej ... -
Dobrý den,
opravdu nevím, co jste měl nastavené. Nic takového, co popisujete, v žádném aktuálním software pro DNS neexistuje.
Vždy musí být nakonfigurovány konkrétní pevné body důvěry (TA - Trust Anchor). A tudíž ani podepisování kořenové zóny vám nemohlo způsobit popisované chování.
S pozdravem,
Ondřej Surý -
Bobrnautus (neregistrovaný)Já s DNSSEC počkám, až bude použitelné toto: http://www.powerdnssec.org. PDNS používáme k úplné spokojenosti celá léta, pokud bude umět DNSSEC v podobě, jak autoři tvrdí (naprosto blbuvzdorné, jednoduché na údržbu...), tak to nebude mít chybu. :-)
ČLÁNKY DO MAILU