Registro .br - FAQ - DNSSEC para provedores

Núcleo de Informação e Coordenação do Ponto br

Home Registro Info FAQ Pesquisas Estatísticas Mapa Contato

FAQ (Perguntas Frequentes)
DNSSEC para provedores

$Revision: 2.7 $
$Date: 2007/07/04 14:19:00 $

9.1 Quais os novos tipos de records incluídos com DNSSEC ?

São eles: DNSKEY, RRSIG, DS e NSEC.

9.2 O que é um record RRSIG ?

É a assinatura de um RRset. RRset é um conjunto de records na base de dados DNS com mesmo nome, classe e tipo. Esta assinatura é a garantia de que as informações enviadas sobre um domínio são verdadeiras. Isso é possível em função da utilização de criptografia assimétrica. Para obter mais informações veja FAQ 8.23.

9.3 Os records RRSIG têm prazo de validade ?

Sim. No momento em que se gera um record RRSIG , deve-se definir o intervalo de validade inicial e final da mesma.

9.4 Existem certificados na utilização de DNSSEC ?

Não.

9.5 O que é um record DNSKEY ?

Trata-se de uma chave pública que valida as assinaturas digitais de um determinado domínio. Para obter mais informações consulte o FAQ 8.23.

9.6 A chave pública de DNSSEC expira ?

Não. Tanto a chave pública quanto a chave privada nunca expiram. Porém, é recomendado que a chave seja renovada periodicamente.

9.7 Onde estão disponíveis as chaves públicas do .BR?

No site do Registro.br. Increva-se na lista [anuncios-dnssec] para receber informações para atualizações desta chave.

9.8 Onde devo incluir as chaves públicas de DNSSEC do domínio .BR ?

Esta chave deve ser ancorada no servidor de nomes recursivo. Para mais informações consulte o Tutorial DNSSEC.

9.9 Por que as chaves públicas de DNSSEC do .BR são alteradas periodicamente ?

Para garantir a confiabilidade e a segurança do sistema.

9.10 . Onde posso obter informações sobre a política utilizada para renovação das chaves do .BR ?

No documento Política de publicação e administração de chaves DNSSEC

9.11 . Posso utilizar uma política para renovação de chaves diferente da utilizada pelo Registro.br ?

Sim. As políticas de administração de chave são locais à zona.

9.12 . O que é DLV (DNSSEC Lookaside Validation) ?

DLV é um método alternativo pelo qual uma cadeia de confiança pode ser verificada sem que haja a necessidade de que uma zona superior na hierarquia DNS esteja assinada. Este serviço utiliza registros DLV definidos na RFC 4431. Outras informações sobre DLV podem ser obtidas em: http://www.isc.org/pubs/tn/isc-tn-2006-1.html
ftp://ftp.beta.registro.br/rfc/rfc4431.txt

9.13 . O que é o validador no servidor de nomes ?

É uma aplicação responsável por validar os records RRSIG e garantir a integridade das informações assinadas.

9.14 Por que é necessário ativar o validador no servidor de nomes para utilizar o DNSSEC ?

O validador é a parte responsável por fazer as requisições DNS necessárias à validação das informações fornecidas.

9.15 . Qual é a importância da sincronização do relógio do servidor recursivo com DNSSEC habilitado ?

Os records RRSIG tem um prazo de validade inicial e final. Se o servidor não estiver com o relógio sincronizado, ele pode invalidar uma assinatura válida. É altamente recomendada a utilização de NTP. Para mais informações sobre NTP consulte o site http://pt.wikipedia.org/wiki/Network_Time_Protocol

9.16 . Estou tendo problemas utilizando DNSSEC com firewall, o que devo fazer ?

DNSSEC utiliza EDNS0 (RFC 2671) para, entre outras coisas, permitir a utilização de datagramas UDP maiores do que 512 bytes, o que pode gerar fragmentação dos pacotes. Verifique se seu firewall é capaz de fazer o reagrupamento dos fragmentos antes de checar as demais regras. Caso isto não seja possível, uma alternativa é configurar seu servidor recursivo para que solicite respostas UDP menores. Se você utiliza Bind como servidor recursivo, isto pode ser feito a partir da versão 9.3.0 com a opção edns-udp-size:

 options {
	 edns-udp-size 1252;
 };

Mais informações podem ser obtidas no documento Firewalls e DNS

9.17 . Como verificar se um record está assinado corretamente ?

É necessário utilizar um software que faz todas as consultas necessárias percorrendo a cadeia de confiança do DNSSEC até alcançar uma chave de confiança. Uma sugestão é a utilização de DIG +sigchase. Para mais informações consulte o Tutorial DNSSEC

9.18 . Quais servidores de nomes (softwares) suportam DNSSEC ?

Os seguintes servidores de nomes suportam a versão mais recente de DNSSEC (DNSSEC-bis):
- BIND 9.4 (ou mais recente)
- NSD 3.0.5 (ou mais recente)
Mais informações podem ser obtidas no Tutorial DNSSEC

9.19 . Se eu utilizar DNSSEC em um domínio, sou obrigado a utilizar DNSSEC em todos os subdomínios delegados sob aquele domínio (ou seja, para todas as zonas delegadas sobre o domínio mais baixo)?

Não. Pois o sistema suporta tanto a extensão DNSSEC quanto a tecnologia DNS.