Facebook-u. Dobrodošli, da se nam Novice
Arnes omogočil na svojih rekurzivnih strežnikih DNSSEC validacijo
Objavljeno 18.07.2011 17:26
Kot smo pred časom že pisali, da bo tudi Arnes uvedel DNSSEC validacijo za .si domene, je to sedaj tudi realno v testnem obdobju. DNSSEC (Domain Name System Security Extensions) je razširitev protokola DNS, ki omogoča dodatno avtentikacijo DNS podatkov.
Kaj to pomeni za .si domene?
Ker je Arnes DNSSEC protokol na svojih rekurzivnih strežnikih DNSSEC validacijo, pomeni, da strežnik poleg vseh zapisov preverja tudi DNSSEC zapise. Z njimi dodatno potrdi, da gre za pravilne podatke in predvsem, da gre za avtentične podatke .si domene. To stori tako, da jih preverja s tistimi na avtoritativnem strežniku.
In kako vemo, da bo domena delovala?
Če je domena nepodpisana, bo vse delovalo tako, kot pred tem. Težave se pojavi le v primeru, če je domena podpisana, kar lahko privede do težav. Ravno zaradi tega morate biti pozorni na dejstva, zaradi katerih domena ne deluje. To se zgodi takrat ko:
• so potekli digitalni podpisi
• je skrbnik domene izklopil DNSSEC, o tem pa ni obvestil svojo vrhnjo domeno v
kateri so ostali DS zapisi
• so napačne ure na računalnikih
• požarni zidovi blokirajo večje odgovore z DNS strežnikov
Strežnik v prvih primerih nedelovanja vrne odgovor SERVFAIL, v zadnjem pa TIMEOUT. Uporabnik v primeru teh dveh odgovorov ne more priti do strani ali pa poslati e-maila.
Arnes pa opozarja, da je trenutno .si domena podpisana le v testne namene, kar pomeni, da digitalni podpis ni v root strežnikih.
Kaj morate storiti za vklop validacije?
Ločiti morate avtoritativno in rekurzivno vlogo domenskega strežnika. Prvi ne more validirati domen, zato DNSSEC tehnologija ne more delovati. Če želite uporabljati DNSSEC tehnologijo, lahko testni rekurzivni strežnik uporabite z IP številko 193.2.1.79. To seveda ne velja za navadne uporabnike .si domen, marveč za registrarje .si domen.
Kaj to pomeni za .si domene?
Ker je Arnes DNSSEC protokol na svojih rekurzivnih strežnikih DNSSEC validacijo, pomeni, da strežnik poleg vseh zapisov preverja tudi DNSSEC zapise. Z njimi dodatno potrdi, da gre za pravilne podatke in predvsem, da gre za avtentične podatke .si domene. To stori tako, da jih preverja s tistimi na avtoritativnem strežniku.
In kako vemo, da bo domena delovala?
Če je domena nepodpisana, bo vse delovalo tako, kot pred tem. Težave se pojavi le v primeru, če je domena podpisana, kar lahko privede do težav. Ravno zaradi tega morate biti pozorni na dejstva, zaradi katerih domena ne deluje. To se zgodi takrat ko:
• so potekli digitalni podpisi
• je skrbnik domene izklopil DNSSEC, o tem pa ni obvestil svojo vrhnjo domeno v
kateri so ostali DS zapisi
• so napačne ure na računalnikih
• požarni zidovi blokirajo večje odgovore z DNS strežnikov
Strežnik v prvih primerih nedelovanja vrne odgovor SERVFAIL, v zadnjem pa TIMEOUT. Uporabnik v primeru teh dveh odgovorov ne more priti do strani ali pa poslati e-maila.
Arnes pa opozarja, da je trenutno .si domena podpisana le v testne namene, kar pomeni, da digitalni podpis ni v root strežnikih.
Kaj morate storiti za vklop validacije?
Ločiti morate avtoritativno in rekurzivno vlogo domenskega strežnika. Prvi ne more validirati domen, zato DNSSEC tehnologija ne more delovati. Če želite uporabljati DNSSEC tehnologijo, lahko testni rekurzivni strežnik uporabite z IP številko 193.2.1.79. To seveda ne velja za navadne uporabnike .si domen, marveč za registrarje .si domen.
