Názory k článku
DNS: čas podepisování
Bobrnautus (neregistrovaný)
---.200.broadband10.iol.cz
13. 5. 2010 9:32
Nový
powerdnssec
celé vlákno
Já s DNSSEC počkám, až bude použitelné toto: http://www.powerdnssec.org. PDNS používáme k úplné spokojenosti celá léta, pokud bude umět DNSSEC v podobě, jak autoři tvrdí (naprosto blbuvzdorné, jednoduché na údržbu...), tak to nebude mít chybu. :-)
uživatel si přál zůstat v anonymitě
2001:470:9e70:----:----:----:----:----
13. 5. 2010 11:49
Nový
podpis korene
celé vlákno
Me pekne vysplouch ;), mel sem na DNS nastaveno overovani podpisu(pokud existuje) a ten den co to podepsali mi prestal resolvovat reverz a ani po hodine hledani sem nenasel duveryhodnou informaci, kde sosnout ten spravny certifikat kteremu bych mel duverovat, takze sem to musel vypnout.
aura:79
13. 5. 2010 13:26
Nový
Re: podpis korene
celé vlákno
Dobrý den,
opravdu nevím, co jste měl nastavené. Nic takového, co popisujete, v žádném aktuálním software pro DNS neexistuje.
Vždy musí být nakonfigurovány konkrétní pevné body důvěry (TA - Trust Anchor). A tudíž ani podepisování kořenové zóny vám nemohlo způsobit popisované chování.
S pozdravem,
Ondřej Surý
opravdu nevím, co jste měl nastavené. Nic takového, co popisujete, v žádném aktuálním software pro DNS neexistuje.
Vždy musí být nakonfigurovány konkrétní pevné body důvěry (TA - Trust Anchor). A tudíž ani podepisování kořenové zóny vám nemohlo způsobit popisované chování.
S pozdravem,
Ondřej Surý
uživatel si přál zůstat v anonymitě
2001:470:9e70:----:----:----:----:----
13. 5. 2010 17:19
Nový
Re: podpis korene
celé vlákno
Jasne, neexistujici nastaveni:
dnssec-enable yes;
//dnssec-validation yes;
Nez napisu plk, tak si overim aspon zakladni informace, co ? Proc myslite ze je ta druha cast zakomentovana ?
K tomu patri samo jeste dalsi veci, jako trebas trusted-keys, kde mam klic pro cz.
=> podepsana domena ktery neduveruju = neresolvuje se a pokud neni kde vzit klic, neni ani cemu duverovat. A jelikoz, (jak jiste nevite) reverz zacina dotazem na koren, kterej (jak jiste neumite overit) je (ted cca mesic) podepsanej ...
dnssec-enable yes;
//dnssec-validation yes;
Nez napisu plk, tak si overim aspon zakladni informace, co ? Proc myslite ze je ta druha cast zakomentovana ?
K tomu patri samo jeste dalsi veci, jako trebas trusted-keys, kde mam klic pro cz.
=> podepsana domena ktery neduveruju = neresolvuje se a pokud neni kde vzit klic, neni ani cemu duverovat. A jelikoz, (jak jiste nevite) reverz zacina dotazem na koren, kterej (jak jiste neumite overit) je (ted cca mesic) podepsanej ...
aura:79
13. 5. 2010 17:38
Nový
Re: podpis korene
celé vlákno
Dobrý den,
ano, toto nastavení existuje (resp. existuje až od verze bind 9.4+).
dnssec-enable yes; znamená, že Bind posílá dotazy z DO (DNSSEC OK) bitem, ale DNSSEC se jinak nezpracovává.
dnssec-validation yes; bez nastaveného TA (resp. trusted-keys) také nic nedělá.
Podepsaná doména, ke které nemáte nakonfigurovaný TA, se bude zpracovávat jako nepodepsaná.
Kořenové nameservery reálně podepsané nejsou, zatím je podpis proveden pouze pomocí DURZ a "falešných" klíčů. Prosím neuvádějte do diskuzí vyložené nesmysly, které si neověříte (www.root-dnssec.org).
A pokud máte pocit, že v DNSSECu plavete, rádi vás uvítáme na školení, které v CZ.NICu pořádáme.
Díky,
Ondřej Surý
ano, toto nastavení existuje (resp. existuje až od verze bind 9.4+).
dnssec-enable yes; znamená, že Bind posílá dotazy z DO (DNSSEC OK) bitem, ale DNSSEC se jinak nezpracovává.
dnssec-validation yes; bez nastaveného TA (resp. trusted-keys) také nic nedělá.
Podepsaná doména, ke které nemáte nakonfigurovaný TA, se bude zpracovávat jako nepodepsaná.
Kořenové nameservery reálně podepsané nejsou, zatím je podpis proveden pouze pomocí DURZ a "falešných" klíčů. Prosím neuvádějte do diskuzí vyložené nesmysly, které si neověříte (www.root-dnssec.org).
A pokud máte pocit, že v DNSSECu plavete, rádi vás uvítáme na školení, které v CZ.NICu pořádáme.
Díky,
Ondřej Surý
