2
IDN ccTLDを設定する機会を得ました。 私はすでにDNSサーバを設定しており、正しく動作しています。 今、私はDNSSECによるDNSサービスを保護することに挑戦しています。 私は自己署名でDNSSECCを設定しました。 しかし、私はどこでどのように私はDSレコードを入力する必要があるのか理解できません。IDN ccTLDのDNSSEC DSレコードを提出する方法
A
答えて
0
DSレコードは委任ゾーンに存在します。実際にはccTLDをルートゾーンとして設定している場合です。 ICANNの担当者に必要な情報を入手する方法については、お問い合わせ先までお問い合わせください。
1
Calle Dybedahlが「どこで」、あなたのccTLD(IDNなど)にDNSSECを有効にする必要があるかについてのいくつかの指針を提供したいと思います。
Viktor Dukhovniの"Common Mistakes"ページでは、DANE(DNSSECを証明書のアンカー、特にSMTPのアンカーとして使用)に固有の多くのことを扱っていますが、最初の2点(最後の1点)は、 DNSSECを実装している演算子、特に任意の種類のTLD。特に
、最初のポイントは、以下の要約、極めて重要である:
出版DNSSEC DSレコード...これらの正しいを維持する運用規律を必要と
ファッションステートメントとして。管理者 "火災と忘れ"を期待する人は、DNSSEC署名付きゾーンを公開すべきではありません... またはそれらはゾーンをホストするために他人に支払うことができます... DNSSECゾーンを維持... そのようなドメイン と通信しようとしているすべてのドメインについても同様です。 DNSSEC ... []が真剣に取られれば、誰もが良いでしょう。
適切な操作でDNSSEC署名付きゾーンを維持するという観点から記録が恒星から遠く離れている多くのccTLDがあります。 "hall of shame"があります.IANIXの停止リストに複数回表示されるTLDを探してください。
IDN ccTLDは新しいTLDであるため、DNSSECは必須です。したがって、IANIXが提供する赤い丸薬を飲み込んでDNSSECを撤回したとしても、実装するしかありません。 TLDとして、あなたのドメインだけでなく、それに登録されているすべてのドメインの操作とセキュリティに直接影響を及ぼすため、DNSSECの展開を最大限重視するための努力をすべきです。
さらに、DNSSECがあるとして困難と問題があると、離れて行くことはほとんどありません、とclients that validate DNSSECの数そのもの(またはGoogle Public DNS、Comcast ISP、またはVerisign Public DNSのようにDNSSEC検証解決サービスのみに依存)が重要であり、exceeding 15% of all clients worldwideと多くの国でIDN ccTLDの候補となる可能性があります(regionalと、先のリンクの国別ドリルダウンはKenya where 40% of clients rely on DNSSEC validation、.KE TLD had a significant DNSSEC outage last monthなど)。
ISOCとa best practices PDFには優れたリソースがあり、自分で "自分でやりたい"場合はDNSSECの管理に役立ち、自分のDNSSECゾーン署名をロールします。しかし、これは間違いを起こすのは非常に簡単です。定期的な監視やオンコールの応答がなければ、DNSSECシグネチャは期限切れとなり、ドメイン全体が何百万に達することがあります。悪いことに、DNSSEC署名に使用される秘密鍵が侵害された場合、DNSSECに依存するドメインのセキュリティは危険にさらされる可能性があります。
管理対象のDNSSECを提供できる商用DNSプロバイダ(お客様がTLDのレジストリ側を操作している間)で、IDN ccTLDのゾーンを長期間に渡ってホスティングする方が簡単で安価かもしれないかどうかを真剣に検討したい場合がありますDNS管理APIを使用してレジストリ実装からゾーンを更新します)。
最後の1つのアドバイス。あなたのccTLDにDSレコードのない何百万ものドメインを委任していて、NSEC3 opt-outが必要な場合や、データプライバシー法令[1][2]が必要な場合は、旧式のNSECを使用することをお勧めします。 Google Public DNS(およびその他の実装aggressive NSEC caching)は、NXDOMAINサービス拒否攻撃と迷惑クエリを権限のあるサーバーに転送することなく吸収することができます。実際にNSEC3がゾーン列挙に対して重要な保護を提供していれば、それは価値があるかもしれませんが、not hard to break it if you have a decent GPUであり、protection against NXDOMAIN attacks(2016-2017ではNSECでのみ可能です)がより役に立ちます。
関連する問題
- 1. C#のLINQ:新規レコードとしてデータベースにオブジェクトを提出する方法
- 2. マルチオカレンスDSを別のDS RPGにコピーする方法
- 3. Hypersonic DSをMySqlに変更するDS
- 4. Zend Dojoサブフォームを提出する方法
- 5. データ提出プログラムをハックする方法
- 6. 提出後にリダイレクトする方法
- 7. Linux上でTwain DataSourceファイル(* .ds)を入手する方法
- 8. Rails 3が複数のレコードを含むフォームを提出する
- 9. AndroidでのIDNのサポート
- 10. .htaccessファイル、IDNドメインをブロックする
- 11. IDNをASCIIに変換するには?
- 12. フックフォーム提出、データベースフィールドを増やす方法?
- 13. ディープストリームレコードを使用してds-listsを選択する方法
- 14. Flex AIR:Blazeなしでプロキシを定義する方法DS
- 15. iphoneでDS-digitalフォントを実装する方法
- 16. DirectShow GraphEditでH264 DSフィルターを使用する方法
- 17. MATLABでMAPEとDSを計算する方法
- 18. javacriptでフォーム提出を検出する方法
- 19. jQueryの - 。?$( '#のあるmyForm')をトリガーする方法(関数(提出)
- 20. DNSPythonを使用したDNSSEC署名RRSET
- 21. フォームのすべてのチェックボックスフィールドを提出する方法は?
- 22. レコードを保存せずにActiveRecordモデル/コントローラを使用する方法の提案?
- 23. ステッカーバンドルアプリ - 提出の準備方法
- 24. カーネルgitにドライバ開発を提出する方法
- 25. 2つの異なるページにフォームを提出する方法
- 26. 対称DS双方向プッシュグループリンク
- 27. 提出をクリックするとリクエストパラメータを設定する方法は?
- 28. フォーム提出のページのURLを変更する方法
- 29. フォームのコピーをコントロールの値と共に提出する方法
- 30. プロシージャの結果であるレコードを出力する方法は?