Documentazione dell'infrastruttura Oracle Cloud

DNSSEC

Le estensioni DNSSEC (Domain Name System Security Extensions) forniscono l'autenticazione crittografica per le risposte di ricerca DNS.

Il DNS non è stato originariamente progettato per cifrare o autenticare il traffico DNS, quindi il protocollo DNS non fornisce protezione contro le risposte dannose o falsificate. DNSSEC aggiunge estensioni di sicurezza al DNS per proteggere i clienti da tali attacchi. DNSSEC utilizza la verifica crittografica per garantire che il resolver possa verificare ogni risposta DNS sia per l'integrità (il messaggio non è cambiato durante il transito) che per l'autenticità (i dati provengono dall'origine prevista). DNSSEC non cifra la risposta alle query DNS. Per informazioni generali, vedere il riferimento RFC DNSSEC.

Puoi impostare e gestire il DNSSEC OCI in ogni singola zona pubblica. DNSSEC richiede un resolver di convalida per convalidare le firme e ogni provider/registratore DNS nella gerarchia delle zone deve supportare DNSSEC. Il DNSSEC OCI utilizza l'algoritmo di firma RSASHA256 con una lunghezza chiave di 256 byte e l'algoritmo di delega SHA256.

I tipi di record specifici associati a DNSSEC sono DNSKEY, DS, NSEC3 e RRSIG. I record NSEC3 e RRSIG non vengono visualizzati nella console o nell'API, ma sono inclusi nelle risposte alle query. I record DS vengono creati e aggiornati nell'ambito del processo di impostazione e rinnovo. Il servizio DNS crea e gestisce automaticamente i record DNSKEY, ma è possibile modificare il TTL del record.

OCI DNSSEC utilizza la firma dinamica (in linea). Con la firma dinamica, i record RRSIG e NSEC3 vengono generati dal server dei nomi che risponde alle query.

Limitazioni e considerazioni

Prima di impostare DNSSEC sulle zone DNS, tenere presenti le informazioni importanti riportate di seguito.
  • DNSSEC non è supportato nelle zone private.
  • Per utilizzare DNSSEC con le zone secondarie, è necessario abilitare DNSSEC con il provider DNS primario.
  • Per eseguire la migrazione di una zona firmata DNSSEC esistente in OCI, prima disabilitare DNSSEC nella zona. Quindi, copiare i record nella zona OCI. Infine, abilitare DNSSEC nella zona OCI.
  • Non è supportata la presenza di uscita sia DNSSEC che secondaria in una zona. È possibile utilizzare l'ingresso secondario da un provider esterno che utilizza DNSSEC in una zona OCI, ma il provider esterno è responsabile della firma della zona.
  • È possibile utilizzare DNSSEC insieme a funzioni avanzate quali ALIAS, CNAME e Gestione del traffico in una zona.
  • DNS utilizza la porta TCP 53 come meccanismo di fallback quando non può utilizzare UDP per inviare dati. Il DNS tradizionale si basa su TCP 53 per operazioni come il trasferimento di zona. L'uso di DNSSEC, o DNS con record IPv6 come AAAA, aumenta la possibilità che i dati DNS vengano trasmessi su TCP.
  • Le modifiche ai record DS necessarie per la prima impostazione o il rinnovo normale possono essere apportate dal registrar di domini se il registrar non offre tale funzionalità come self-service.
  • Assicurarsi che il registrar di dominio e tutti i provider DNS per le zone padre e figlio supportino i record DNSSEC e DS.

Concetti DNSSEC

Stato DNSSEC
Proprietà di una zona che indica se DNSSEC è abilitato o disabilitato nella zona.
Configurazione DNSSEC
Proprietà di una zona che contiene informazioni sulle versioni delle chiavi DNSSEC.
Versione chiave DNSSEC
Informazioni pertinenti per una chiave di firma della zona (ZSK) o una chiave di firma della chiave (KSK).
ZSK (chiave di firma della zona)
Chiave utilizzata per firmare tutti i file RRsets non DNSKEY nella zona.
KSK (chiave di firma della chiave)
Chiave utilizzata per firmare il DNSKEY RRset nella zona. Stabilisce una catena di fiducia con la zona padre.
Catena di fiducia
Catena continua di zone firmate a partire dalla zona radice. La catena di attendibilità è costituita da recordDNSKEY nella zona figlio e da record DS nel padre. La catena di attendibilità va da una zona firmata DNSSEC, fino alla gerarchia delle zone, alla zona radice. La catena viene verificata con firme tramite crittografia asimmetrica.
Esegui rollover
Una sequenza di passi accuratamente orchestrata per sostituire una vecchia versione della chiave DNSSEC con una nuova versione della chiave DNSSEC senza interruzioni. Vedere Rinnovo.
Area intermedia
Passo del processo di rinnovo. Introdurre una nuova versione della chiave DNSSEC in modo che possa sostituire una versione della chiave DNSSEC esistente.
Avanza
Passo del processo di rinnovo. Comunicare a OCI di aver aggiunto le informazioni necessarie sul nuovo KSK al record DS della zona padre.
Ora pubblicazione
Proprietà di una versione della chiave DNSSEC. Indica che esiste un record DNSKEY in una zona che inizia all'ora specificata.
Ora attivazione
Proprietà di una versione della chiave DNSSEC. Indica che la chiave sta firmando la zona a partire dall'ora specificata.
Ora disattivata
Proprietà di una versione della chiave DNSSEC. Indica che la chiave non sta più firmando la zona a partire dall'ora specificata.
Tempo non pubblicato
Proprietà di una versione della chiave DNSSEC. Indica che un record DNSKEY non esiste più in una zona che inizia all'ora specificata.
Ora scaduta
Proprietà di una versione della chiave DNSSEC. Ora di pianificazione della rimozione di una versione della chiave DNSSEC.

Introduzione

Affinché DNSSEC funzioni, è necessaria una catena di attendibilità valida dalla radice alla zona. Prima di iniziare, assicurarsi che il registrar di dominio e tutti i provider DNS per le zone padre e figlio supportino i record DNSSEC e DS.

Ti consigliamo di monitorare la risoluzione dei domini con e senza DNSSEC, prima e durante tutto il processo. Gli strumenti utili che è possibile utilizzare per verificare la configurazione DNSSEC sono gli strumenti Dig e Delv di BIND, DNSViz o Analizzatore DNS.

Assicurarsi di familiarizzare con l'intero processo di configurazione DNSSEC prima di iniziare.

Impostazione di DNSSEC

  1. Creare una zona e abilitare DNSSEC durante la creazione. In alternativa, aggiornare una zona esistente per abilitare DNSSEC. Prima di continuare, attendere il completamento della richiesta di lavoro.
  2. Creare un record DS nella zona padre nel punto di delega contenente le informazioni digest KSK. La zona padre può essere una zona in OCI o in un altro provider DNS.
  3. Dopo aver creato il record DS, promuovere il KSK. Questo passo informa OCI che hai completato il passo 2 e che l'automazione può continuare.
  4. Creare un allarme per avvisare l'utente quando viene generata una nuova versione di KSK in modo da poter completare le azioni di rinnovo richieste.

Esegui rollover

Il rollover è il processo di introduzione di una nuova versione della chiave DNSSEC e di rimozione della vecchia versione della chiave DNSSEC senza interruzioni. Il processo di rollover sia per ZSK che per KSK si allinea alle best practice di sicurezza relative alla crittografia a chiave pubblica. Le chiavi di sostituzione vengono generate una settimana prima della scadenza.

È possibile utilizzare l'operazione stage DNSSEC key in qualsiasi momento per creare una versione della chiave di sostituzione in anticipo rispetto alla pianificazione. È possibile avere fino a 10 versioni chiave in una zona alla volta. Si consiglia di eseguire un rollover di una sola chiave in un momento di entrambi i tipi di chiave.
Nota

I pattern di rinnovo predefiniti sono soggetti a modifiche da parte di OCI. Per richiedere un rollover della chiave occasionale al di fuori del pattern predefinito, Richieste di supporto.

Rinnovo ZSK

Per impostazione predefinita, gli ZSK vengono rinnovati automaticamente ogni 30 giorni. In primo luogo, viene creata una versione di chiave ZSK sostitutiva. Quindi, la vecchia versione della chiave ZSK viene rimossa. Se si decide di posizionare nell'area intermedia una sostituzione ZSK in anticipo rispetto al programma, attendere il completamento del rollover ZSK prima di mettere in area intermedia un'altra ZSK per iniziare un secondo rollover. Ciò consente di evitare interruzioni del servizio a causa di differenze di tempificazione nelle cache ZSK o di registrare TTL (time to live).

Rinnovo KSK

Il rollover KSK inizia ogni anno quando viene creata una versione di chiave DNSSEC sostitutiva. L'allarme creato durante il passo di impostazione 4 e una notifica nella console indicano che un nuovo KSK richiede la promozione. Per evitare interruzioni del servizio, dopo la creazione del nuovo record DNSKEY è necessario attendere la scadenza del TTL del record DNSKEY prima di rimuovere il vecchio record DS. È possibile procedere in due modi:
  • Dopo aver creato il nuovo record DNSKEY, attendere la scadenza del TTL del record DNSKEY. Aggiungere quindi il nuovo record DS e rimuovere contemporaneamente il record DS precedente.
  • Dopo la creazione del nuovo record DNSKEY, aggiungere immediatamente il nuovo record DS. Attendere il TTL del record DNSKEY RRSet nella zona di cui viene eseguito il rollover o il TTL del file DS RRSet nell'elemento padre, a seconda di quale delle due dimensioni sia maggiore, quindi rimuovere il vecchio record DS.

L'assenza di un record DS sul lato padre di un taglio non disturba in genere il traffico, ma non riesce a stabilire una catena di fiducia che richiede la firma della zona figlio. Pertanto, se si rimuove il vecchio record DS troppo presto o prima di aggiungere il nuovo record DS, la zona smette di utilizzare DNSSEC per quel periodo di tempo.

Vedere Rolling over a Key-Signing Key (KSK).

Tempificazione

Il TTL massimo consentito nelle zone con firma DNSSEC è un giorno. Questo limite garantisce l'assenza di interruzioni del servizio durante un rollover, poiché il processo di rollover a volte richiede l'attesa della scadenza dei TTL prima di continuare.

Si consiglia di utilizzare un TTL di un'ora per i record DNSKEY nelle zone. Il rollover di un KSK comporta l'attesa del TTL del DNSKEY in determinati passaggi del processo. Se un TTL è troppo grande, non è possibile completare il rinnovo entro il periodo di rinnovo, causando un'interruzione.

Si consiglia di utilizzare un TTL di un'ora quando si creano record DS nelle zone padre. Se un registrar o un provider DNS non supporta un TTL di un'ora, segui i loro suggerimenti. Per ulteriori informazioni su come decidere un TTL per un record DS, vedere Periodo di validità della firma DS nel riferimento RFC DNSSEC.

Il provisioning delle modifiche ai record richiede un certo periodo di tempo prima che siano disponibili nelle risposte alle query. Tenere in considerazione il tempo di provisioning dei record durante la stima del tempo di attesa per le modifiche ai record. Se la zona madre è gestita da un registrar, le modifiche apportate al registrar possono richiedere più tempo (48 ore sono possibili) per propagarsi a livello globale.