DNSSEC

As extensões de segurança do sistema de nomes de domínio (DNSSEC) fornecem autenticação criptográfica para respostas de pesquisa de DNS.

O DNS não foi originalmente projetado para criptografar ou autenticar o tráfego de DNS, portanto, o protocolo DNS não fornece proteção contra respostas maliciosas ou forjadas. O DNSSEC adiciona extensões de segurança ao DNS para proteger os clientes contra esses ataques. O DNSSEC usa verificação criptográfica para garantir que o resolvedor possa verificar cada resposta de DNS para integridade (a mensagem não foi alterada durante o trânsito) e autenticidade (os dados vieram da origem esperada). O DNSSEC não criptografa a resposta às consultas de DNS. Consulte a referência de RFC DNSSEC para obter informações gerais.

Você pode configurar e gerenciar o OCI DNSSEC em cada zona pública individual. O DNSSEC requer um resolvedor de validação para validar assinaturas, e cada provedor/registrador de DNS na hierarquia de zonas deve suportar DNSSEC. O OCI DNSSEC usa o algoritmo de assinatura RSASHA256 com um tamanho de chave de 256 bytes e o algoritmo de delegação SHA256.

Os tipos de registro específicos associados ao DNSSEC são DNSKEY, DS, NSEC3 e RRSIG. Os registros NSEC3 e RRSIG não aparecem na Console ou na API, mas são incluídos nas respostas da consulta. Você cria e atualiza registros DS como parte do processo de configuração e reinvestimento. O serviço de DNS cria e gerencia automaticamente registros DNSKEY, mas você pode alterar o registro TTL.

O OCI DNSSEC usa assinatura dinâmica (em linha). Com assinatura dinâmica, os registros RRSIG e NSEC3 são gerados pelo servidor de nomes que responde às consultas.

Limitações e Considerações

Antes de configurar DNSSEC em zonas de DNS, considere as seguintes informações importantes:
  • DNSSEC não é suportado em zonas privadas.
  • Para usar DNSSEC com zonas secundárias, ative DNSSEC com o provedor de DNS principal.
  • Para migrar uma zona assinada DNSSEC existente para o OCI, primeiro desative DNSSEC na zona. Em seguida, copie os registros para a zona do OCI. Por fim, ative DNSSEC na zona do OCI.
  • Ter DNSSEC e saída secundária em uma zona não é suportado. Você pode usar a entrada secundária de um provedor externo que usa DNSSEC para uma zona do OCI, mas o provedor externo é responsável por assinar a zona.
  • Você pode usar DNSSEC junto com recursos avançados como ALIAS, CNAME e Traffic Management em uma zona.
  • O DNS usa a porta TCP 53 como um mecanismo de fallback quando não pode usar o UDP para enviar dados. O DNS tradicional conta com TCP 53 para operações como transferência de zona. O uso de DNSSEC, ou DNS com registros IPv6, como AAAA, aumenta a chance de que os dados DNS sejam transmitidos no TCP.
  • As alterações de registro DS necessárias para a primeira definição ou rolagem regular podem ser feitas pelo registrador de domínio se ele não oferecer essa funcionalidade como autoatendimento.
  • Certifique-se de que o registrador de domínio e todos os provedores de DNS para zonas pai e filho suportem registros DNSSEC e DS.

Conceitos de DNSSEC

Estado DNSSEC
Uma propriedade de uma zona que indica se DNSSEC está ativado ou desativado na zona.
Configuração do DNSSEC
Uma propriedade de uma zona que contém informações sobre as versões da chave DNSSEC.
Versão da chave DNSSEC
As informações relevantes para uma chave de assinatura de zona (ZSK) ou uma chave de assinatura de chave (KSK).
ZSK (chave de assinatura de zona)
A chave usada para assinar todos os RRsets não DNSKEY na zona.
KSK (chave de assinatura de chave)
A chave usada para assinar o DNSKEY RRset na zona. Estabelece uma cadeia de confiança com a zona pai.
Cadeia de confiança
Uma cadeia contínua de zonas assinadas começando na zona raiz. A cadeia de confiança é formada por registrosDNSKEY na zona filha e registros DS no pai. A cadeia de confiança vai de uma zona assinada DNSSEC, até a hierarquia de zonas, até a zona raiz. A cadeia é verificada com assinaturas através de criptografia assimétrica.
Rollover
Uma sequência cuidadosamente orquestrada de etapas para substituir uma versão antiga da chave DNSSEC por uma nova versão da chave DNSSEC sem interrupção. Consulte Rollover.
Preparar
Uma etapa no processo de reinvestimento. Introduza uma nova versão da chave DNSSEC para que ela possa substituir uma versão da chave DNSSEC existente.
Promover
Uma etapa no processo de reinvestimento. Informe ao OCI que você adicionou as informações necessárias sobre o novo KSK ao registro DS da zona pai.
Hora da publicação
Uma propriedade de uma versão de chave DNSSEC. Indica que existe um registro DNSKEY em uma zona que começa no horário especificado.
Horário de ativação
Uma propriedade de uma versão de chave DNSSEC. Indica que a chave está assinando a zona começando no horário especificado.
Tempo desativado
Uma propriedade de uma versão de chave DNSSEC. Indica que a chave não está mais assinando a zona começando no horário especificado.
Tempo não publicado
Uma propriedade de uma versão de chave DNSSEC. Indica que um registro DNSKEY não existe mais em uma zona que começa no horário especificado.
Tempo expirado
Uma propriedade de uma versão de chave DNSSEC. O horário em que uma versão da chave DNSSEC está programada para remoção.

Introdução

Para que o DNSSEC funcione, é necessária uma cadeia de confiança válida da raiz para a zona. Antes de começar, certifique-se de que o registrador de domínio e todos os provedores de DNS para zonas pai e filho suportem registros DNSSEC e DS.

Recomendamos que você monitore a resolução de domínios com e sem DNSSEC, antes e durante todo o processo. As ferramentas úteis que você pode usar para verificar a configuração do DNSSEC são ferramentas Dig e Delv do BIND, DNSViz ou DNS Analyzer.

Certifique-se de se familiarizar com todo o processo de configuração DNSSEC antes de começar.

Definindo DNSSEC

  1. Crie uma zona e ative o DNSSEC durante a criação. Ou atualizar uma zona existente para ativar DNSSEC. Aguarde a conclusão da solicitação de serviço com sucesso antes de continuar.
  2. Crie um registro DS na zona pai no ponto de delegação que contenha as informações de compilação da KSK. A zona pai pode ser uma zona no OCI ou em outro provedor de DNS.
  3. Depois que o registro DS tiver sido criado, promova o KSK. Esta etapa informa à OCI que você concluiu a etapa 2 e que a automação pode continuar.
  4. Crie um alarme para alertá-lo quando uma nova versão KSK for gerada para que você possa concluir as ações de rollover necessárias.

Rollover

Rollover é o processo de introdução de uma nova versão da chave DNSSEC e remoção da versão antiga da chave DNSSEC sem interrupção. O processo de reinvestimento para ZSKs e KSKs se alinha com as melhores práticas de segurança em relação à criptografia de chave pública. As chaves de substituição são geradas uma semana antes da expiração.

Você pode usar a operação stage DNSSEC key a qualquer momento para criar uma versão da chave de substituição antecipadamente. Você pode ter até 10 versões de chave em uma zona de uma só vez. Recomendamos ter um rollover de chave única acontecendo em um momento de qualquer tipo de chave.
Observação

Os padrões de rollover padrão estão sujeitos a alterações pelo OCI. Para solicitar um rollover de chave ocasional fora do padrão padrão, Solicitações de Suporte.

Rolagem ZSK

As ZSKs são roladas automaticamente a cada 30 dias por padrão. Primeiro, uma versão da chave ZSK de substituição é criada. Em seguida, a versão antiga da chave ZSK é removida. Se você decidir preparar uma ZSK de substituição antes da programação, aguarde até que a prorrogação da ZSK seja concluída com sucesso antes de preparar outra ZSK para iniciar uma segunda prorrogação. Isso evita interrupções de serviço devido a diferenças de tempo nos caches ZSK ou TTL (tempo de vida) de registro.

Rolagem de KSK

O rollover de KSK começa anualmente quando uma versão de chave DNSSEC de substituição é criada. O alarme que você cria durante a etapa de configuração 4 e uma notificação na Console informam que um novo KSK requer promoção. Para evitar interrupções de serviço, depois que o novo registro DNSKEY for criado, você deverá aguardar até que o TTL do registro DNSKEY expire antes de remover o registro DS antigo. Você pode prosseguir de uma destas duas formas:
  • Depois que o novo registro DNSKEY for criado, aguarde até que o TTL do registro DNSKEY expire. Em seguida, adicione o novo registro DS e remova o registro DS antigo ao mesmo tempo.
  • Após a criação do novo registro DNSKEY, adicione o novo registro DS imediatamente. Aguarde o TTL do DNSKEY RRSet na zona que está sendo rolada ou o TTL do DS RRSet no pai, o que for maior, e remova o registro DS antigo.

A ausência de um registro DS no lado pai de um corte geralmente não interrompe o tráfego, mas falha ao estabelecer uma cadeia de confiança que exige que a zona filho seja assinada. Portanto, se você remover o registro DS antigo muito cedo ou antes de adicionar o novo registro DS, a zona deixará de usar DNSSEC por esse período.

Consulte Fazendo Rolagem por uma Chave de Assinatura de Chave (KSK).

Período

O TTL máximo permitido em zonas assinadas DNSSEC é um dia. Esse limite garante nenhuma interrupção do serviço durante um reinvestimento, porque o processo de reinvestimento às vezes requer espera até que os TTLs expirem antes de continuar.

Recomendamos o uso de um TTL de uma hora para registros DNSKEY em zonas. Rollover para um KSK envolve esperar o TTL do DNSKEY em certas etapas do processo. Se um TTL for muito grande, não será possível concluir o rollover dentro do período de rollover, causando uma interrupção.

Recomendamos o uso de um TTL de uma hora ao criar registros DS em zonas pai. Se um registrador ou provedor de DNS não suportar um TTL de uma hora, siga suas recomendações. Para obter mais informações sobre como decidir sobre um TTL para um registro DS, consulte Período de Validade da Assinatura DS na referência RFC DNSSEC.

As alterações de registro levam algum tempo para serem provisionadas antes de estarem disponíveis nas respostas da consulta. Leve em consideração o tempo de provisionamento do registro ao estimar o tempo de espera para alterações no registro. Se a zona pai for gerenciada por um registrador, as alterações feitas no registrador poderão levar mais tempo (é possível 48 horas) para serem propagadas globalmente.