ניהול ההגדרה של DNSSEC

בדף הזה מוסבר איך להפעיל ולהשבית תוספי אבטחה של DNS‏ (DNSSEC) ואיך לאמת את הפריסה של DNSSEC.

סקירה כללית של DNSSEC זמינה במאמר סקירה כללית של DNSSEC.

הפעלת DNSSEC לתחומים ציבוריים מנוהלים קיימים

כדי להפעיל DNSSEC באזורים ציבוריים מנוהלים קיימים, פועלים לפי השלבים הבאים.

המסוף

  1. נכנסים לדף Cloud DNS במסוף Google Cloud .

    מעבר אל Cloud DNS

  2. לוחצים על שם האזור שבו רוצים להפעיל DNSSEC.

  3. בדף פרטי האזור, לוחצים על עריכה.

  4. בדף עריכת תחום DNS, לוחצים על DNSSEC.

  5. בקטע DNSSEC, בוחרים באפשרות מופעל.

  6. לוחצים על Save.

המצב של DNSSEC שנבחר לאזור מוצג בעמודה DNSSEC בדף Cloud DNS.

gcloud

מריצים את הפקודה הבאה:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

מחליפים את EXAMPLE_ZONE במזהה האזור.

Terraform

resource "google_dns_managed_zone" "example" {
  name        = "example-zone-name"
  dns_name    = "example.com."
  description = "Example Signed Zone"
  dnssec_config {
    state = "on"
  }
}

הפעלת DNSSEC כשיוצרים אזורים

כדי להפעיל DNSSEC כשיוצרים אזור, מבצעים את השלבים הבאים.

המסוף

  1. נכנסים לדף Cloud DNS במסוף Google Cloud .

    מעבר אל Cloud DNS

  2. לוחצים על יצירת אזור.

  3. מזינים שם בשדה Zone name.

  4. בשדה DNS name, מזינים שם.

  5. בקטע DNSSEC, בוחרים באפשרות מופעל.

  6. אופציונלי: מוסיפים תיאור.

  7. לוחצים על יצירה.

    יצירת תחום חתום ב-DNSSEC

gcloud

מריצים את הפקודה הבאה:

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

מחליפים את EXAMPLE_ZONE במזהה האזור.

אימות הפריסה של DNSSEC

כדי לוודא שהפריסה של האזור עם DNSSEC תקינה, צריך לוודא שרשומת ה-DS הנכונה ממוקמת באזור האב. רזולוציית DNSSEC עלולה להיכשל אם מתרחש אחד מהמקרים הבאים:

  • ההגדרה שגויה או שהקלדתם אותה בצורה לא נכונה.
  • הצבת רשומת DS שגויה באזור ההורה.

כדי לוודא שההגדרה שלכם נכונה ולבצע בדיקה צולבת של רשומת ה-DS לפני שמוסיפים אותה לאזור האב, אפשר להשתמש בכלים הבאים:

אתם יכולים להשתמש באתרים של Verisign DNSSEC debugger ו-Zonemaster כדי לאמת את הגדרת ה-DNSSEC לפני שאתם מעדכנים את הרשם עם שרתי השמות של Cloud DNS או עם רשומת ה-DS. דומיין שמוגדר בצורה תקינה ל-DNSSEC הוא example.com, וניתן לראות אותו באמצעות DNSViz.

הגדרות מומלצות של TTL לתחומים עם חתימת DNSSEC

TTL הוא אורך החיים (בשניות) של אזור שחתום על ידי DNSSEC.

בניגוד לתפוגה של TTL, שהיא יחסית לזמן שבו שרת שמות שולח תגובה לשאילתה, החתימות של DNSSEC פגות בזמן מוחלט קבוע. ערכי TTL שהוגדרו לזמן ארוך יותר מזמן החיים של החתימה עלולים לגרום לכך שלקוחות רבים יבקשו רשומות באותו זמן שבו פג תוקף החתימה של DNSSEC. ערכי TTL קצרים עלולים גם לגרום לבעיות בפתרון שמות שמאמתים DNSSEC.

המלצות נוספות לגבי בחירת TTL זמינות ב-RFC 6781 סעיף 4.4.1 Time Considerations וב-RFC 6781 Figure 11.

כשקוראים את סעיף 4.4.1 ב-RFC 6781, צריך לזכור שהרבה פרמטרים של זמן החתימה קבועים ב-Cloud DNS ואי אפשר לשנות אותם. אי אפשר לשנות את הפרמטרים הבאים (הם כפופים לשינויים ללא הודעה מוקדמת או עדכון של המסמך הזה):

  • ההפרש מתאריך ההקמה = יום אחד
  • תקופת התוקף = 21 ימים
  • תקופת החתימה מחדש = 3 ימים
  • תקופת הרענון = 18 ימים
  • מרווח התנודות = חצי יום (או ‎±6 שעות)
  • תוקף מינימלי של החתימה = רענון – תנודות = 17.75 ימים = 1533600

אסור להשתמש בערך TTL ארוך יותר מתוקף החתימה המינימלי.

השבתת DNSSEC לתחומים מנוהלים

אחרי שמסירים את רשומות ה-DS וממתינים עד שהן יפוגו מהמטמון, אפשר להשתמש בפקודה gcloud הבאה כדי להשבית את DNSSEC:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

מחליפים את EXAMPLE_ZONE במזהה האזור.

המאמרים הבאים