DNSSEC in Arnesovi rekurzivni strežniki

DNSSEC (Domain Name System Security Extensions) je razširitev DNS protokola, ki omogoča avtentikacijo DNS podatkov.

Arnes je omogočil na svojih rekurzivnih strežnikih DNSSEC validacijo (DO bit je vklopljen), kar pomeni da strežnik poleg ostalih zapisov zahteva tudi DNSSEC zapise in preveri ali gre za avtentične podatke, tako da jih primerja s tistimi na avtoritativnem strežniku.

Če domena ni podpisana, bo vse delovalo tako kot prej.

Če je domena podpisana, pa morate biti pozorni na več dejavnikov. Podpisana domena lahko ne deluje, če:

  • so potekli digitalni podpisi;
  • je skrbnik domene izklopil DNSSEC, o tem pa ni obvestil svojo vrhnjo domeno v kateri so ostali DS zapisi;
  • so napačne ure na računalnikih;
  • požarni zidovi blokirajo večje odgovore z DNS strežnikov.

V prvih treh primerih bo strežnik verjetno vrnil SERVFAIL odgovor, v zadnjem pa TIMEOUT. V obeh primerih končni uporabnik ne more priti do želene strani oz. poslati pošte.

Uporabniki brskalnika Mozilla Firefox si lahko namestijo vtičnik, ki v brskalniku pokaže status domene.

Vir: