Jak zabezpieczyć domenę protokołem DNSSEC?

Z kim należy się skontaktować, aby zabezpieczyć domenę protokołem DNSEC?

Zabezpieczenie dowolnej domeny z końcówką .pl protokołem DNSSEC wymaga przekazania do NASK skrótu klucza używanego do podpisywania danej strefy. Skrót ten należy przekazać za pośrednictwem rejestratora obsługującego domenę. W przypadku nazw zarejestrowanych w domenie .gov.pl, skrót należy przekazać bezpośrednio do NASK, korzystając z wniosku o zmianę delegacji domeny.

Jaka jest preferowana, bezpieczna metoda wymiany kluczy?

Możliwe metody przeprowadzenia tzw. rolloveru, czyli wymiany kluczy używanych do podpisywania strefy bez przerywania łańcucha zaufania, opisane są w dokumencie RFC4641 „DNSSEC Operational Practices”. W praktyce dla kluczy ZSK najczęściej stosuje się metodę "Pre-Publish Key Rollover", zaś dla kluczy KSK - metodę "Double Signature Zone Signing Key Rollover".

Jaki jest preferowany algorytm szyfrowania kluczy?

Współcześnie najczęściej wykorzystuje się algorytm numer 8 (RSA/SHA-256) z kluczami RSA o rozmiarze przynajmniej 2048 bitów. Jeśli umożliwia to infrastruktura wykorzystywana do podpisywania strefy przy użyciu DNSSEC, warto także rozważyć użycie algorytmu numer 13 (ECDSA Curve P-256 with SHA-256), który zapewnia poziom bezpieczeństwa porównywalny z algorytmem 8, a generuje sygnatury DNSSEC o mniejszym rozmiarze.

Jaki jest rekomendowany czas życia kluczy?

Nie ma uniwersalnej rekomendacji. Należy opracować w tej kwestii własną politykę, ważąc ryzyka związane z bezpieczeństwem domeny, długością klucza, sposobem przechowywania kluczy prywatnych etc.
Polityka wymiany kluczy dla strefy .pl jest opublikowana w dokumencie DNSSEC Polityka i zasady postępowania.

Jaka wersja BIND jest rekomendowana do wdrożenia DNSSEC?

Zaleca się używanie najnowszej stabilnej wersji BIND, udostępnianej przez ISC na stronie https://www.isc.org/downloads/.

UWAGA!

Przed wdrożeniem DNSSEC warto zgłębić temat, aby uchronić się przed popełnieniem błędów, które mogą skutkować niedostępnością domeny.

Zachęcamy do ocenienia gotowości do wdrożenia DNSSEC. W tym celu można posłużyć się dokumentem „DNSSEC Infrastructure Audit Framework”.