ניהול ההגדרות של DNSSEC

בדף הזה מוסבר איך מפעילים ומשביתים תוספי אבטחה של DNS‏ (DNSSEC), ואיך מאמתים את הפריסה של DNSSEC.

סקירה כללית על DNSSEC

הפעלת DNSSEC בתחומים ציבוריים מנוהלים קיימים

כדי להפעיל את DNSSEC באזורים ציבוריים מנוהלים קיימים, פועלים לפי השלבים הבאים.

המסוף

  1. נכנסים לדף Cloud DNS במסוף Google Cloud .

    כניסה אל Cloud DNS

  2. לוחצים על שם הדומיין שרוצים להפעיל בו את DNSSEC.

  3. בדף פרטי הדומיין, לוחצים על עריכה.

  4. בדף Edit a DNS zone, לוחצים על DNSSEC.

  5. בקטע DNSSEC, בוחרים באפשרות מופעל.

  6. לוחצים על שמירה.

מצב ה-DNSSEC שבחרתם לאזור מוצג בעמודה DNSSEC בדף Cloud DNS.

gcloud

מריצים את הפקודה הבאה:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

מחליפים את EXAMPLE_ZONE במזהה האזור.

Terraform 

resource "google_dns_managed_zone" "example" {
  name        = "example-zone-name"
  dns_name    = "example.com."
  description = "Example Signed Zone"
  dnssec_config {
    state = "on"
  }
}

הפעלת DNSSEC כשיוצרים תחומים

כדי להפעיל את DNSSEC בזמן יצירת תחום, מבצעים את השלבים הבאים.

המסוף

  1. נכנסים לדף Cloud DNS במסוף Google Cloud .

    כניסה אל Cloud DNS

  2. לוחצים על Create zone.

  3. בשדה Zone name, מזינים שם.

  4. בשדה DNS name, מזינים שם.

  5. בקטע DNSSEC, בוחרים באפשרות מופעל.

  6. אם רוצים, מוסיפים תיאור.

  7. לוחצים על יצירה.

    יצירת תחום חתום של DNSSEC

gcloud

מריצים את הפקודה הבאה:

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

מחליפים את EXAMPLE_ZONE במזהה האזור.

אימות הפריסה של DNSSEC

כדי לוודא שהפריסה של תחום DNSSEC מופעלת בצורה תקינה, צריך לוודא שהצבתם את רשומת ה-DS הנכונה בתחום ההורה. רזולוציית DNSSEC יכולה להיכשל אם מתרחש אחד מהמקרים הבאים:

  • ההגדרה שגויה או שהקלדתם אותה בטעות.
  • הרשומה הלא נכונה של DS הוצבה באזור ההורה.

כדי לוודא שהגדרתם את ההגדרות הנכונות ולבדוק את רשומת ה-DS לפני שמוסיפים אותה לתחום ההורה, תוכלו להשתמש בכלים הבאים:

אתם יכולים להשתמש במאתרים של Zonemaster וב-Verisign DNSSEC debugger כדי לאמת את ההגדרות של DNSSEC לפני שאתם מעדכנים את הרשם בשרתי השמות או ברשומת ה-DS של Cloud DNS. דומיין שמוגדר כראוי ל-DNSSEC הוא example.com, וניתן לראות אותו באמצעות DNSViz.

הגדרות TTL מומלצות לתחומים עם חתימת DNSSEC

TTL הוא אורך החיים (בשניות) של תחום עם חתימה של DNSSEC.

בניגוד לתפוגת תוקף של TTL, שהיא יחסית למועד שבו שרת שמות שולח תשובה לשאילתה, התוקף של חתימות DNSSEC פג במועד מוחלט קבוע. אם משך החיים של TTL מוגדר ליותר מאשר משך החיים של החתימה, יכול להיות שיהיו הרבה לקוחות שיבקשו רשומות באותו זמן שתוקף החתימה של DNSSEC יפוג. ערכי TTL קצרים עלולים גם לגרום לבעיות במפענחים שמאמתים את DNSSEC.

המלצות נוספות לגבי בחירת TTL מפורטות בקטע RFC 6781, סעיף 4.4.1 Time Considerations ובאיור 11 ב-RFC 6781.

כשקוראים את הקטע 4.4.1 ב-RFC 6781, חשוב לזכור שפרמטרים רבים של זמן החתימה מוגדרים מראש על ידי Cloud DNS ואי אפשר לשנות אותם. לא ניתן לשנות את הפרמטרים הבאים (הם כפופים לשינויים ללא הודעה מוקדמת או עדכון במסמך הזה):

  • הזזת תאריך ההתחלה = יום אחד
  • תקופת התוקף = 21 ימים
  • תקופת החתימה מחדש = 3 ימים
  • תקופת הרענון = 18 ימים
  • מרווח הזמן של התנודות (jitter) = חצי יום (או ±6 שעות)
  • תוקף החתימה המינימלי = רענון – תנודות = 17.75 ימים = 1,533,600

אסור להשתמש ב-TTL ארוך יותר מתוקף החתימה המינימלי.

השבתת DNSSEC עבור תחומים מנוהלים

אחרי שמסירים את רשומות ה-DS וממתינים לתפוגת התוקף שלהן במטמון, אפשר להשתמש בפקודה gcloud הבאה כדי להשבית את DNSSEC:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

מחליפים את EXAMPLE_ZONE במזהה האזור.

המאמרים הבאים