DNSSEC

• Этап 1 - тестирование в домене второго уровня
• Этап 2 - генерация ключа DNSSEC для домена UA
• Этап 3 - публичный сервер для тестирования подписанной копии домена UA
• Этап 4 - активация DNSSEC-ключа (KSK) для зоны UA
• Этап 5 - включение записи DS (отпечатка ключа) в корневую зону
• Смена расписания ключей DNSSEC для UA

Этап 1 - тестирование в домене второго уровня

2011-11-08
На четвертой мастерской IPv6 был сгенерирован ключ для зарезервированного домена UA.UA.

Параметры ключа: алгоритм 10 (RSASHA512), количество бит - 1984.

Публичный ключ домена UA.UA

ua.ua.  180 IN DNSKEY 257 3 10 (
           AwEAAdyLBVMXxqEngeXoOleXgQpBeB6L/Q39
           ThwY50QGOt/iNnIWN4qqb2KvsTP9fk4qyZwQ
           l5Zd+E5AEbuolKSER2KAB9dTjQ6anpowaCIi
           YdHZmcYmBQdoLsEUOYDLLJpjQeGuc0uH8/Ai
           s69TZx6kNUo5cCNjuXL/w4UNi5IQXgP1wkD+
           bTCj+isySHKbrceDUMyndSmeB8FqDe85gfwQ
           4xI0kEL9rOflyen+avSCLVXFuQtRA1KSKevP
           tUJ2+XynCBlQCCCBH1v3OQAOuNnsApHvw5Dv
           WQRTf7rM0fQWUcBGgdVdDLF+CKUgcZWiJiIA
           5Rl2Tr46Gidb
           ) ; key id = 25173

Отпечаток этого ключа - запись DS:

ua.ua. IN DS 25173 10 2 7FD0FADF25BD474913B95E3298E52E4C1D5FFA365C3D756098AA1DC6984F7332

2011-12-01
Зона UA.UA подписана. Ее ключи опубликованы в репозитории ISC DLV

Этап 2 - генерация ключа DNSSEC для домена UA

2011-12-02
На конференции UAdom создан главный ключ DNSSEC (KSK) и вспомогательный ключ (ZSK). Срок действия главного ключа - до 31 декабря 2014 года.

• Сценарий церемонии генерации ключей DNSSEC для домена .UA
• Протокол церемонии генерации ключей DNSSEC для домена .UA
• Видео церемонии генерации ключей DNSSEC для домена .UA

Отпечаток ключа KSK:

ua. IN DS 56514 10 2 BDD7A310534F76B2B6B25C94F816F9B9F260A2E35F526A9287E3307FB2CD16D8

Этап 3 - публичный сервер для тестирования подписанной копии домена UA

2012-02-07
На 5й встрече "Мастерской IPv6" был представлен проект "Маяк" (Lighthouse)

Маяк представляет собой публичный DNS-сервер lh.cctld.ua, на котором размещена подписанная копия домена .UA.

Сервер доступен по IP-адресам:

194.44.71.71 и 2001:7f8:55:7::71 (адрес IPv6)

Для того, чтобы принять участие в тестировании, необходимо установить программное обеспечение, понимающее подписи защищенного DNS. Например браузер Mozilla Firefox с установленной утилитой DNSSEC Validator. При этом в настойках Resolver - Custom необходимо указать IP-адрес Маяка.

Введя адрес http://www.ua можно увидеть, что адрес защищен (зеленый ключик перед строкой адреса). Проверить работу DNSSEC можно также, набрав в командной строке.

dig www.ua +dnssec @lh.cctld.ua

Содержание в ответе флага ad свидетельствует о том, что получен ответ, защищенный DNSSEC.

Замечания и отзывы о проекте "Маяк" можно направлять по адресу lh@hostmaster.ua.

Этап 4 - активация DNSSEC-ключа (KSK) для зоны UA

2012-03-27
произведена публикация ключа DNSSEC для .UA внутри самого домена .UA. Этот шаг - предпоследний перед включением .UA в цепочку доверия DNSSEC.

Вся цепочка доверия DNSSEC заработает после публикации отпечатка ключа .UA в корневой зоне, которую ведет организация IANA (ICANN).

Результат выполнения команды dig, содержащий текстовое представление записей DNSKEY.

Этап 5 - включение записи DS (отпечатка ключа) в корневую зону

2012-03-27
в корневую зону системы доменных имен организацией ICANN была внесена запись о DNSSEC-ключе для домена .UA ( так называемые trust anchor.) По состоянию на 13.04.2012 в домене .ua подписаны три домена второго уровня: rovno.ua, netassist.ua, и nic.ua (а также два служебных: ua.ua, xn--mqa.ua).

Построение цепочки доверия DNSSEC успешно завершено.

Смена расписания ключей DNSSEC для UA

2012-07-10
Во время седьмой Мастерской IPv6, была произведена автоматическая генерация нового DNSSEC ключа типа ZSK для домена UA. Ключ был активирован в 15:31 по Киевскому времени и будет использоваться до 19 августа 2012 года. Следующий ключ будет создан 10 августа.

Новое расписание изменяет цикл ротации (плановой замены) ключей с еженедельного на ежемесячный. Напомню, что предыдущее расписание (каждую среду создается ключ, действующий десять дней) действовало с момента включения DNSSEC в UA в апреле 2012 года. По новому расписанию ключ создается 10 числа месяца и используется сорок дней (до 19 или 20 числа следующего месяца) - c перекрытием на 9 или 10 дней.