DNSSEC para provedores
- 1.1 Quais os novos tipos de records incluídos com DNSSEC?
São eles: DNSKEY, RRSIG, DS e NSEC.
- 1.2 O que é um record RRSIG?
É a assinatura de um RRset. RRset é um conjunto de records na base de dados DNS com mesmo nome, classe e tipo. Esta assinatura é a garantia de que as informações enviadas sobre um domínio são verdadeiras. Isso é possível em função da utilização de criptografia assimétrica. Para obter mais informações consulte os Tutoriais de DNS e DNSSEC.
- 1.3 Os records RRSIG têm prazo de validade?
Sim. No momento em que se gera um record RRSIG, é definido o intervalo de validade inicial e final.
- 1.5 O que é um record DNSKEY?
Trata-se de uma chave pública que valida as assinaturas digitais de um determinado domínio. Para obter mais informações consulte os Tutoriais de DNS e DNSSEC.
- 1.6 A chave pública de DNSSEC expira?
Não. Tanto a chave pública quanto a chave privada nunca expiram.
- 1.7 Onde posso encontrar a chave pública da raiz do sistema DNS e onde devo adicioná-la?
A chave da pública da raiz deve ser adicionada na configuração do servidor DNS recursivo. Para mais informações consulte os Tutoriais de DNS e DNSSEC.
- 1.8 Qual é a importância da sincronização do relógio do servidor recursivo com DNSSEC habilitado?
Os records RRSIG tem um prazo de validade inicial e final. Se o servidor não estiver com o relógio sincronizado, ele pode invalidar uma assinatura válida. É altamente recomendada a utilização de NTP. Para mais informações sobre NTP consulte o site NTP.br.
- 1.9 Tenho tido problemas utilizando DNSSEC com firewall, o que devo fazer?
DNSSEC utiliza EDNS0 (RFC 2671) para, entre outras coisas, permitir a utilização de datagramas UDP maiores do que 512 bytes, o que pode gerar fragmentação dos pacotes. Verifique se seu firewall é capaz de fazer o reagrupamento dos fragmentos antes de checar as demais regras.
Caso isto não seja possível, uma alternativa é configurar seu servidor recursivo para que solicite respostas UDP menores. Se você utiliza Bind como servidor recursivo, isto pode ser feito a partir da versão 9.3.0 com a opção edns-udp-size:
options { edns-udp-size 1252; };
- 1.10 Quais softwares de sistema DNS suportam DNSSEC?
Os seguintes softwares de servidores DNS suportam a versão mais recente de DNSSEC, incluindo a RFC 5011:
- BIND 9.7 (ou mais recente)
- NSD 3.2.6 (ou mais recente)
Mais informações podem ser obtidas nos Tutoriais de DNS e DNSSEC.
- 1.11 Se eu utilizar DNSSEC em um domínio, sou obrigado a utilizar DNSSEC em todos os subdomínios delegados?
Não. Pois se o domínio não possui o DS do subdomínio deste ponto em diante serão realizadas consultas DNS normais.
- 1.12 O meu domínio está sem assinatura, o que devo fazer?
O erro NOSIG significa que seu domínio não está assinado por nenhuma das chaves relacionadas aos DS informados ao Registro.br.
Para solucionar este problema certifique-se que o servidor está com DNSSEC habilitado e reassine sua zona.
- 1.13 O meu domínio está com a assinatura expirada, como devo proceder?
O erro EXPSIG indica que as assinaturas do seu domínio estão expiradas.
Para solucionar este problema basta reassinar sua zona.
Mais informações podem ser obtidas nos Tutoriais de DNS e DNSSEC.
- 1.14 Como resolver o erro NOKEY?
Este erro indica que o DS informado na interface do Registro.br não está relacionado com nenhuma das chaves existentes em sua zona.
Para solucionar este problema, utilize a ferramenta DScheck para obter o DS correspondente a chave existente em sua zona ou crie novas chaves, reassine sua zona e informe o novo DS na interface do Registro.br.
Mais informações podem ser obtidas nos Tutoriais de DNS e DNSSEC.
- 1.15 O meu domínio possui assinatura inválida, como devo proceder?
O erro SIGERROR indica que a assinatura do seu domínio não passa no teste de validação.
Para solucionar este problema basta reassinar sua zona.
- 1.16 O meu domínio está com o status de TIMEOUT para os DS informados, como devo proceder?
O sistema de verificação da cadeia de confiança não conseguiu consultar as chaves existentes em seu domínio.
O problema pode ser causado por algum problema de configuração no seu firewall. Verifique aqui.
- 1.17 O meu domínio está com o status PLAIN DNS ERROR para os DS informados, como devo proceder?
Ocorreu um erro em pelo menos um dos servidores DNS, o que impediu a consulta dos DS.
O problema pode ser resolvido solucionando os problemas acusados nos servidores DNS.