Настройка DNSSEC

There are even country TLDs (TLD: Top Level Domain), such as Cyprus, Slovakia, Turkey, Uzbekistan and some others, that have their TLD (.cy, .sk, .tr, .uz) unsigned and have no DS record in the root (source: http://stats.research.icann.org/dns/tld_report/). This means you cannot have DNSSEC for any domain under such TLDs. There are 1535 TLDs in total and 1400 of them are signed.

Ты неверно поняла сообщение.

«in the uz zone»

Ты не админ us zone и не можешь туда ничего прописать своим биндом. Это надо идти к регистратору и у него в интерфейсе прописывать ключи.

А, ну совем хорошо. Регистратор тоже не парился, так что никак.

Посыпаю голову пеплом, по моей же ссылке на статус страничке сказано, что уже можно в зоне UZ использовать DNSSEC. Тогда тебе прямой дорогой к регистратору и прописывать там свои публичные ключи.

Посыпаю голову пеплом

Дык на такую что сыпь, что не сыпь.

[offtopic]На две секунды позже не могли что ли комментарий отправить? :)[/offtopic]

:(

Регистратор про это ни сном ни духом. Пришлось звонить и долго переписываться чтобы убедить регистратора, что это на его стороне можно прописать, так как с нашей уже все прописано. В итоге им кто-то объяснил или помог (уж не знаю), но в конце концов все заработало. Всем спасибо!

Правда кроме как для подписи sshfp и tlsa записей нигде больше вообщем-то dnssec не нужен, а так как сами записи sshfp и tlsa используют 0,001% пользователей, то и dnssec не взетел и не взлетит уже наверное никогда :(

sshfp сам по себе не нужен. Это ненужный костыль.

Есть сертификаты ssh и они прекрасно работают.

dnssec сейчас уже вполне используется всеми через 8.8.8.8 и 1.0.0.1

В итоге им кто-то объяснил или помог (уж не знаю), но в конце концов все заработало. Всем спасибо!

надо сказать, что вы вышли на скользкую дорожку.

dnssec требует постоянного наблюдения так что привыкай теперь ходить при первых же жалобах на https://dnssec-analyzer.verisignlabs.com и проверять все тонкости его работы.

В целом днс теперь у вас будет работать заметно нестабильней.

Ну что за ересь про сертификаты ? sshfp же совсем о другом: решает проблему с подменой целевого хоста во время самого первого подключения к серверу, а не использование на стороне клиента метода аутентификации через пароль или ключ или сертификат.

Ну и вообще - уж не надо нам этого (сертификаты) счастья. (Нет, для больших структур с тысячами серверов наверное это и хорошо и полезно - но для обычных людей это сверхизлишество).

В целом днс теперь у вас будет работать заметно нестабильней.

Голоса в голове нашептали ?

Уже много-много лет домен у меня подписан и ни одной проблемы никогда не возникало. Там не чему ломаться (если не заниматься ерундой и не налаживать самопальную реализацию по автоматизации перевыпуска ключей на криво установленном бинде).

Соглашусь лишь что в целом dnssec не нужен ибо не взлетел. Вот если бы он взлетел, был бы у всех и всюду и dane tlsa валидацию из браузеров не выпилили бы, то тогда можно было бы всем послать все СА и зажить в мире розовых пони.

sshfp же совсем о другом: решает проблему с MitM во время первого подключения к серверу,

Не буду ругаться. Разберись. Сертификаты генерятся и лежат в том числе на сервере и как раз обеспечивают защиту от MitM

Ну и вообще - уж не надо нам этого (сертификаты) счастья.

Дело хозяйское, не настаиваю. Я разобрался и удивился, насколько все это прекрасно работает и решает все проблемы хоть с одним сервером, хоть с десятком, хоть с сотнями. Сейчас только сертификаты.

Я уже исправил в своём посте - правильнее сказать что не от MitM а от подмены целевого хоста при самом первом соединении.

Голоса в голове нашептали ?

статистика. В отличие от голого днс, который может работать вечно, dnssec гарантированно умирает через некоторое время без обслуживания.

а от подмены целевого хоста

и это тоже решает. читай дальше.

Ещё раз - «ДЛЯ САМОГО ПЕРВОГО СОЕДИНЕНИЯ» !

Не могут сертификаты ничего решать что для вэба что для ssh (для этого нужен либо лист с записями в браузере (HSTS preload list) в случае web либо запись (sshfp) в dns под dnssec для ssh).

статистика

Так можно держать у крупного / надёжного dns-хостера поддерживающего dnssec а не с биндом мурыжиться - и ничего тогда не умирает. Но повторюсь что не нужно это в целом :)

Для самого первого соединения. В known-host одна запись на всех, в том числе и будущих

Так чтобы в known-host появился fingerprint соединение ssh уже должно состояться. А sshfp проверяется до этого: found 6 secure fingerprints in DNS.

Так чтобы в known-host появился fingerprint соединение ssh уже должно состояться.

в known host одна запись с публичным ключом удостоверяющего центра. Ключ можно разместить на сайте и отдавать через https, например. Он один на все сертификаты, которые подписаны эти центром.

Ключ можно разместить на сайте и отдавать через https, например

И это надёжнее чем sshfp под dnssec ? :)))))

Так и знал что костыль нужен как я и писал выше.

это надёжнее чем sshfp под dnssec ? :)))))

конечно, ведь в днс нужно вносить и обновлять записи на каждое доменное имя (а на ip-адрес и вовсе нельзя). А тут одна запись на все сертификаты, которые выпущены удостоверяющим центром.

Одна запись. На все хосты и прошлые и будущие, под всеми именами. Если взломают днс, то вот тебе и атака. А тут как сайт ни ломай, если ключ уже на машине, то ничего не выйдет.

Чего тут непонятного?

Возможно (ВОЗМОЖНО) в случае сотен хостов это и имеет смысл в плане удобства и при нормальной реализации не сильно менее безопасно чем sshfp под dnssec.

Но если для себя любимого и парочка-тройка хостов в работе то мы уж как-нибудь по старинке !

Но если для себя любимого и парочка-тройка хостов в работе то мы уж как-нибудь по старинке !

ну так парочка троечка хостов, тем более. Ключ на флешке, никакой завязки на сторонние сервисы, днс или еще чего-то. Работает в любом виде, хоть зона .local, хоть по адресу, хоть как.

Я вообще охреневаю от логики. купить доменное имя, поднять и настроить зону, включить и настроить днссек, собрать ключи с хостов и прописать их в днс заради трех запросов это норм, легко и надежно.

А выписать вместо всего этого один ключик и рулить и хостами и пользователями в свое удовольствие - ужасно, сложно и несекурно.

Совершенно верно :)))) !

Уже много-много лет домен у меня подписан и ни одной проблемы никогда не возникало.

А версия bind какая? Не приходилось сталкиваться с такой ошибкой?

https://gitlab.isc.org/isc-projects/bind9/-/issues/256

Держать свой dns-сервер на одной машине не имеет никакого отношения ни к надёжности ни к отказоустойчивости.

Держу Primary - cloudns.net и Secondary - dnsmadeeasy.com. Это большие надёжные dns хостинги с кучей anycast-серверов по всему миру.