Kuidas DNSSEC tööle panna?

Kuidas DNSSEC tööle rakendada?

.ee domeeni registreerijatel on võimalik edastada oma DNSSEC võtmeid domeeni registreerimise teenuse pakkujate ehk registripidajate vahendusel Eesti Interneti SA registrisse ning internetikasutajatel veenduda juba DNSSECiga kaitstud .ee domeenide õigsuses.

Teenusepakkuja

Lihtsaim võimalus domeen DNSSECiga kaitsta, on kasutada selleks oma registripidaja või nimeserveri teenuse pakkuja abi. Ülevaate, millised registripidajad DNSSECi teenust oma klientidele pakuvad, leiad siit  tabelist (vali ülalt filtrist DNSSEC).

Enne teenusepakkuja kasuks otsustamist tasub uurida, kuidas on selles organisatsioonis korraldatud DNSSECi võtmete haldus - kuidas hoitakse ja kaitstakse salajasi võtmeid, kas ja kui tihti neid vahetatakse ning missugused kulud sellega domeeniomanikule kaasnevad. Hea tava on avalikustada DNSSEC lahenduse DPS (DNSSEC Practice Statement), kus on kirjeldatud selles ettevõttes rakendatavad DNSSECiga seotud protseduurid ja reeglid. Tea, et DNSSECi tugevus sõltub sellest, kui hästi on kaitstud DNSSECi salajased võtmed igas usaldusahela lülis.

Paigalda DNSSEC ise

DNSSECi rakendamiseks tuleb domeeniomanikul seadistada oma nimeserveri lahendus DNSSECi toetama, luua vajalikud võtmed, allkirjastada domeen ning saata avalik võti (KSK võtmepaari avalik osa) läbi oma registripidaja sihtasutuse registrisse.

Infot, kuidas erinevate nimeserveri lahenduste baasil DNSSEC-i seadistada, leiab vastava tarkvara väljaanda kodulehelt. Näiteks:

• https://www.isc.org/downloads/bind/dnssec
• https://www.yadifa.eu/download
• https://www.powerdns.com/dnssec.html

DNSSECi haldamiseks on ka erilahendusi - vaata näiteks OpenDNSSEC.

Kuidas DNSSEC ise tööle panna?

1. Seadista nimeserver ja loo tsoonifailid  (BIND, NSD, PowerDNS vms)

DNSSECi jaoks ei ole vaja luua eraldi nimeserverit ning selleks võib kasutada juba toimivat lahendust. Ainsaks eelduseks on DNSSEC toe olemasolu. Käesolevaks hetkeks toetavad kõik laiemalt levinud nimeserverid DNSSECi. Üldise juhendi nimeserveri seadistamiseks leiab siit.

2. Seadista DNSSEC tugi nimeserverile

Peale nimeserveri tavapärast seadistamist on vaja sisse lülitada DNSSECi tugi. Täpsed seadistamise parameetrid sõltuvad valitud nimeserverist. BINDi nimeserveri seadistamise parameetrid leiab BINDi käsiraamatust.

3. Loo DNSSEC võtmed

Järgnevalt tuleb luua võtmed, millega allkirjastatakse tsoonis olevad kirjed. BINDi nimeserveris on selleks dnssec-keygen rakendus, mis loob avaliku ja privaatse võtme.

4. Allkirjasta tsoonifailid

Peale võtmete loomist tuleb allkirjastada tsoonifailid. BINDi nimeserveris saab selleks kasutada dnssec-signzone rakendust, mis loob signeeritud tsoonifaili.

5. Edasta DNSSEC võti enda registripidajale

DNSSEC võtmete edastamiseks võta ühendust oma domeeni registripidajaga või võimalusel kasuta oma registripidaja iseteenindusportaali.

6. Registripidaja edastab võtme EISi

DNSSECi toimimist saad kontrollida siit:

• DNSSECi analüsaator 
• Paigalda veebilehitsejale DNSSECi pluginad.