Oracle Cloud Infrastructure - Dokumentation

DNSSEC

Domain Name System Security Extensions (DNSSEC) bietet kryptografische Authentifizierung für DNS-Lookup-Antworten.

DNS wurde ursprünglich nicht zur Verschlüsselung oder Authentifizierung von DNS-Traffic entwickelt, sodass das DNS-Protokoll keinen Schutz vor böswilligen oder gefälschten Antworten bietet. DNSSEC fügt DNS Sicherheitserweiterungen hinzu, um Kunden vor solchen Angriffen zu schützen. DNSSEC verwendet eine kryptografische Verifizierung, um sicherzustellen, dass der Resolver jede DNS-Antwort auf Integrität (die Nachricht hat sich während der Übertragung nicht geändert) und Authentizität (die Daten stammen von der erwarteten Quelle) überprüfen kann. DNSSEC verschlüsselt die Antwort auf DNS-Abfragen nicht. Allgemeine Informationen finden Sie in der DNSSEC RFC-Referenz.

Sie können OCI DNSSEC in jeder einzelnen öffentlichen Zone einrichten und verwalten. DNSSEC erfordert einen validierenden Resolver, um Signaturen zu validieren, und jeder DNS-Provider/Registrar in der Zonenhierarchie muss DNSSEC unterstützen. OCI DNSSEC verwendet den Signaturalgorithmus RSASHA256 mit einer Schlüssellänge von 256 Byte und den Delegierungsalgorithmus SHA256.

Die mit DNSSEC verknüpften spezifischen Datensatztypen sind DNSKEY, DS, NSEC3 und RRSIG. Die Datensätze NSEC3 und RRSIG werden nicht in der Konsole oder API angezeigt, sondern in Abfrageantworten enthalten. Sie erstellen und aktualisieren DS-Datensätze im Rahmen des Setup- und Rollover-Prozesses. Der DNS-Service erstellt und verwaltet automatisch DNSKEY-Datensätze. Sie können die Datensatz-TTL jedoch ändern.

OCI DNSSEC verwendet die dynamische (Inline-)Signatur. Beim dynamischen Signieren werden RRSIG- und NSEC3-Datensätze vom Nameserver generiert, der auf Abfragen antwortet.

Einschränkungen und Überlegungen

Bevor Sie DNSSEC in DNS-Zonen einrichten, beachten Sie die folgenden wichtigen Informationen:
  • DNSSEC wird in privaten Zonen nicht unterstützt.
  • Um DNSSEC mit sekundären Zonen zu verwenden, müssen Sie DNSSEC mit dem primären DNS-Provider aktivieren.
  • Um eine vorhandene DNSSEC-signierte Zone zu OCI zu migrieren, deaktivieren Sie zuerst DNSSEC in der Zone. Kopieren Sie dann die Datensätze in die OCI-Zone. Aktivieren Sie schließlich DNSSEC in der OCI-Zone.
  • DNSSEC und sekundärer Egress in einer Zone werden nicht unterstützt. Sie können sekundären Ingress von einem externen Provider verwenden, der DNSSEC in einer OCI-Zone verwendet. Der externe Provider ist jedoch für das Signieren der Zone verantwortlich.
  • Sie können DNSSEC zusammen mit erweiterten Funktionen wie ALIAS, CNAME und Traffic Management in einer Zone verwenden.
  • DNS verwendet TCP-Port 53 als Fallback-Mechanismus, wenn es UDP nicht zum Senden von Daten verwenden kann. Herkömmliches DNS verlässt sich bei Vorgängen wie der Zonentransfer auf TCP 53. Die Verwendung von DNSSEC oder DNS mit IPv6-Datensätzen wie AAAA erhöht die Wahrscheinlichkeit, dass DNS-Daten auf TCP übertragen werden.
  • Die DS-Datensatzänderungen, die für das erstmalige Setup oder den regulären Rollover erforderlich sind, können vom Domainregistrar vorgenommen werden, wenn der Registrar diese Funktionalität nicht als Self-Service anbietet.
  • Stellen Sie sicher, dass der Domainregistrar und alle DNS-Provider für übergeordnete und untergeordnete Zonen DNSSEC- und DS-Datensätze unterstützen.

DNSSEC-Konzepte

DNSSEC-Status
Eine Eigenschaft einer Zone, die angibt, ob DNSSEC in der Zone aktiviert oder deaktiviert ist.
DNSSEC-Konfiguration
Eine Eigenschaft einer Zone, die Informationen zu den DNSSEC-Schlüsselversionen enthält.
DNSSEC-Schlüsselversion
Die relevanten Informationen entweder für einen ZSK-Schlüssel (Zone Signing Key) oder einen KSK-Schlüssel (Key Signing Key).
ZSK (Zonensignaturschlüssel)
Der Schlüssel zum Signieren aller Nicht-DNSKEY-RRsets in der Zone.
KSK (Key Signing Key)
Der Schlüssel zum Signieren des DNSKEY RRset in der Zone. Schafft eine Vertrauenskette mit der übergeordneten Zone.
Vertrauenskette
Eine kontinuierliche Kette von signierten Zonen, die an der Root Zone beginnt. Die Vertrauenskette wird durch DNSKEY-Datensätze in der untergeordneten Zone und DS-Datensätze in der übergeordneten Zone gebildet. Die Vertrauenskette geht von einer DNSSEC-signierten Zone über die Zonenhierarchie bis zur Root Zone. Die Kette wird durch asymmetrische Kryptographie mit Signaturen verifiziert.
Rollover
Eine sorgfältig orchestrierte Folge von Schritten, um eine alte DNSSEC-Schlüsselversion ohne Unterbrechung durch eine neue DNSSEC-Schlüsselversion zu ersetzen. Siehe Rollover.
Staging
Ein Schritt im Rollover-Prozess. Führen Sie eine neue DNSSEC-Schlüsselversion ein, damit sie eine vorhandene DNSSEC-Schlüsselversion ersetzen kann.
Vorziehen
Ein Schritt im Rollover-Prozess. Informieren Sie OCI, dass Sie dem DS-Datensatz der übergeordneten Zone die erforderlichen Informationen zum neuen KSK hinzugefügt haben.
Veröffentlichte Zeit
Eine Eigenschaft einer DNSSEC-Schlüsselversion. Gibt an, dass ein DNSKEY-Datensatz in einer Zone vorhanden ist, die zum angegebenen Zeitpunkt beginnt.
Aktivierte Zeit
Eine Eigenschaft einer DNSSEC-Schlüsselversion. Gibt an, dass der Schlüssel die Zone ab dem angegebenen Zeitpunkt signiert.
Deaktivierte Zeit
Eine Eigenschaft einer DNSSEC-Schlüsselversion. Gibt an, dass der Schlüssel die Zone ab dem angegebenen Zeitpunkt nicht mehr signiert.
Nicht veröffentlichte Zeit
Eine Eigenschaft einer DNSSEC-Schlüsselversion. Gibt an, dass ein DNSKEY-Datensatz nicht mehr in einer Zone vorhanden ist, die zum angegebenen Zeitpunkt beginnt.
Ablaufzeit
Eine Eigenschaft einer DNSSEC-Schlüsselversion. Die Zeit, zu der eine DNSSEC-Schlüsselversion zum Entfernen geplant ist.

Erste Schritte

Damit DNSSEC funktioniert, ist eine gültige Vertrauenskette von der Root bis zur Zone erforderlich. Bevor Sie beginnen, stellen Sie sicher, dass der Domainregistrar und alle DNS-Provider für übergeordnete und untergeordnete Zonen DNSSEC- und DS-Datensätze unterstützen.

Wir empfehlen Ihnen, die Auflösung von Domains mit und ohne DNSSEC vor und während des gesamten Prozesses zu überwachen. Nützliche Tools, mit denen Sie die DNSSEC-Konfiguration prüfen können, sind BIND-Tools für Dig und Delv, DNSViz oder DNS Analyzer.

Machen Sie sich mit dem gesamten DNSSEC-Setup-Prozess vertraut, bevor Sie beginnen.

DNSSEC einrichten

  1. Erstellen Sie eine Zone, und aktivieren Sie DNSSEC beim Erstellen. Oder aktualisieren Sie eine vorhandene Zone, um DNSSEC zu aktivieren. Warten Sie, bis die Arbeitsanforderung erfolgreich abgeschlossen wurde, bevor Sie fortfahren.
  2. Erstellen Sie einen DS-Datensatz in der übergeordneten Zone am Delegierungspunkt, der die KSK-Digestinformationen enthält. Die übergeordnete Zone kann eine Zone in OCI oder ein anderer DNS-Provider sein.
  3. Nachdem der DS-Datensatz erstellt wurde, bewerben Sie den KSK. Dieser Schritt informiert OCI darüber, dass Sie Schritt 2 abgeschlossen haben und die Automatisierung fortgesetzt werden kann.
  4. Erstellen Sie einen Alarm, um Sie zu benachrichtigen, wenn eine neue KSK-Version generiert wird, damit Sie die erforderlichen Rollover-Aktionen ausführen können.

Rollover

Rollover ist der Prozess der Einführung einer neuen DNSSEC-Schlüsselversion und das Entfernen der alten DNSSEC-Schlüsselversion ohne Unterbrechung. Der Rollover-Prozess für ZSKs und KSKs entspricht den Best Practices für die Sicherheit in Bezug auf Public-Key-Kryptografie. Ersatzschlüssel werden eine Woche vor Ablauf generiert.

Sie können den Vorgang stage DNSSEC key jederzeit verwenden, um eine Ersatzschlüsselversion im Voraus zu erstellen. Sie können bis zu 10 Schlüsselversionen gleichzeitig in einer Zone verwenden. Es wird empfohlen, einen einzelnen Schlüssel-Rollover zu einem Zeitpunkt jedes Schlüsseltyps durchzuführen.
Hinweis

Standard-Rollover-Muster können sich von OCI ändern. Um ein einmaliges Schlüssel-Rollover außerhalb des Standardmusters anzufordern, Supportanfragen.

ZSK Übertrag

ZSKs werden standardmäßig alle 30 Tage automatisch übertragen. Zunächst wird eine Ersatz-ZSK-Schlüsselversion erstellt. Dann wird die alte ZSK-Schlüsselversion entfernt. Wenn Sie einen Ersatz-ZSK vorzeitig bereitstellen möchten, warten Sie, bis der ZSK-Rollover erfolgreich abgeschlossen wurde, bevor Sie einen weiteren ZSK bereitstellen, um einen zweiten Rollover zu starten. Dadurch werden Serviceunterbrechungen aufgrund von Zeitunterschieden in den ZSK- oder TTL-Caches (Time to Live) vermieden.

KSK Prolongation

Der KSK-Rollover beginnt jährlich, wenn eine Ersatz-DNSSEC-Schlüsselversion erstellt wird. Der Alarm, den Sie während des 4. Setupschritts und einer Benachrichtigung in der Konsole erstellen, informiert Sie darüber, dass ein neuer KSK hochgestuft werden muss. Um Serviceunterbrechungen zu vermeiden, müssen Sie nach der Erstellung des neuen DNSKEY-Datensatzes warten, bis die TTL des DNSKEY-Datensatzes abläuft, bevor Sie den alten DS-Datensatz entfernen. Es gibt zwei Möglichkeiten, um fortzufahren:
  • Warten Sie nach der Erstellung des neuen DNSKEY-Datensatzes, bis die TTL des DNSKEY-Datensatzes abläuft. Fügen Sie dann den neuen DS-Datensatz hinzu, und entfernen Sie gleichzeitig den alten DS-Datensatz.
  • Nachdem der neue DNSKEY-Datensatz erstellt wurde, fügen Sie den neuen DS-Datensatz sofort hinzu. Warten Sie die TTL von DNSKEY RRSet in der Zone, für die ein Rollover ausgeführt wird, oder die TTL von DS RRSet im übergeordneten Element (je nachdem, welcher Wert größer ist), und entfernen Sie dann den alten DS-Datensatz.

Das Fehlen eines DS-Datensatzes auf der übergeordneten Seite eines Cut-Verkehrs stört normalerweise nicht den Traffic, schafft jedoch keine Vertrauenskette, die das Signieren der untergeordneten Zone erfordert. Wenn Sie also den alten DS-Datensatz zu früh oder vor dem Hinzufügen des neuen DS-Datensatzes entfernen, wird DNSSEC für diesen Zeitraum nicht mehr verwendet.

Siehe Rolling Over a Key Signing Key (KSK).

Zeitpunkt

Die maximal zulässige TTL in DNSSEC-signierten Zonen beträgt einen Tag. Dieses Limit stellt sicher, dass der Service während eines Rollovers nicht unterbrochen wird, da der Rollover-Prozess manchmal warten muss, bis die TTLs ablaufen, bevor fortgefahren wird.

Es wird empfohlen, eine TTL von eine Stunde für DNSKEY-Datensätze in Zonen zu verwenden. Beim Rollover für einen KSK müssen Sie die TTL des DNSKEY in bestimmten Schritten warten. Wenn eine TTL zu groß ist, ist es nicht möglich, den Rollover innerhalb der Rollover-Periode abzuschließen, was zu einer Unterbrechung führt.

Es wird empfohlen, beim Erstellen von DS-Datensätzen in übergeordneten Zonen eine TTL von einer Stunde zu verwenden. Wenn ein Registrar oder DNS-Provider einen TTL von einer Stunde nicht unterstützt, befolgen Sie seine Empfehlungen. Weitere Informationen zur Entscheidung für eine TTL für einen DS-Datensatz finden Sie unter Gültigkeitszeitraum für DDS-Signatur in der DNSSEC-RFC-Referenz.

Datensatzänderungen dauern einige Zeit bis sie bereitgestellt werden, bevor sie in Abfrageantworten verfügbar sind. Berücksichtigen Sie die Bereitstellungszeit für Datensätze, wenn Sie die Wartezeit für Datensatzänderungen schätzen. Wenn die übergeordnete Zone von einem Registrar verwaltet wird, können Änderungen, die am Registrar vorgenommen wurden, länger dauern (48 Stunden sind möglich), um global zu propagieren.