Jak zabezpieczyć domenę protokołem DNSSEC?
Zabezpieczenie dowolnej domeny z końcówką .pl protokołem DNSSEC wymaga przekazania do NASK skrótu klucza używanego do podpisywania danej strefy. Skrót ten należy przekazać za pośrednictwem rejestratora obsługującego domenę. W przypadku nazw zarejestrowanych w domenie .gov.pl, skrót należy przekazać bezpośrednio do NASK, korzystając z wniosku o zmianę delegacji domeny.
Możliwe metody przeprowadzenia tzw. rolloveru, czyli wymiany kluczy używanych do podpisywania strefy bez przerywania łańcucha zaufania, opisane są w dokumencie RFC4641 „DNSSEC Operational Practices”. W praktyce dla kluczy ZSK najczęściej stosuje się metodę "Pre-Publish Key Rollover", zaś dla kluczy KSK - metodę "Double Signature Zone Signing Key Rollover".
Współcześnie najczęściej wykorzystuje się algorytm numer 8 (RSA/SHA-256) z kluczami RSA o rozmiarze przynajmniej 2048 bitów. Jeśli umożliwia to infrastruktura wykorzystywana do podpisywania strefy przy użyciu DNSSEC, warto także rozważyć użycie algorytmu numer 13 (ECDSA Curve P-256 with SHA-256), który zapewnia poziom bezpieczeństwa porównywalny z algorytmem 8, a generuje sygnatury DNSSEC o mniejszym rozmiarze.
Nie ma uniwersalnej rekomendacji. Należy opracować w tej kwestii własną politykę, ważąc ryzyka związane z bezpieczeństwem domeny, długością klucza, sposobem przechowywania kluczy prywatnych etc.
Polityka wymiany kluczy dla strefy .pl jest opublikowana w dokumencie DNSSEC Polityka i zasady postępowania (PDF).
Zaleca się używanie najnowszej stabilnej wersji BIND, udostępnianej przez ISC na stronie
https://www.isc.org/downloads/.
Przed wdrożeniem DNSSEC warto zgłębić temat, aby uchronić się przed popełnieniem błędów, które mogą skutkować niedostępnością domeny.
Zachęcamy do ocenienia gotowości do wdrożenia DNSSEC. W tym celu można posłużyć się dokumentem „DNSSEC Infrastructure Audit Framework (PDF)”.