DNSSEC on yılı aşkın süredir bir standarttır, ancak benimsenme dengesiz kalır. Kriptografi iyi anlaşılır; operasyonel model iyi belgelenmiştir. Birçok kuruluşu etkinleştirmekten alıkoyan emanettir: imzalama anahtarı (KSK) ve zone imzalama anahtarı (ZSK) tüm zone'un güven kökleridir ve çoğu kurum bu anahtarları satıcının ellerinde istemez.
Bulut DNS sağlayıcıları DNSSEC sign-and-serve sunar, ancak anahtarlar sağlayıcının KMS'sinde durur. Sağlayıcı iptal edebilir, döndürebilir veya celbedilebilir — zone bütünlüğünüz sağlayıcının devam eden operasyonuna koşulludur. Bazı kurumlar bu uzlaşmayı kabul eder; regüle sektörlerdeki birçoğu (kamu, savunma, finans) edemez.
Tarihsel alternatif, kendi yönetilen DNSSEC imzalama boru hattını işletmektir: özel anahtar yönetimi olan BIND, anahtarları planlı döndürmek için scriptler, harici HSM entegrasyonu, imzalı kayıtları almak için slave yapılandırması. Bu işe yarar, ancak operasyonel yük önemlidir ve başarısızlık modları sessizdir (süresi dolmuş RRSIG, eksik NSEC zinciri).
TR7 GTM, DNSSEC'i yetkili DNS düzleminin geri kalanı ile aynı operatör yüzeyine getirir — domain başına opt-in, birinci sınıf veri olarak imzalı kayıtlar, imzalamayı taşıyan zone transferi — harici bir imzalama servisine bağımlı olmadan.
DNSSEC, tüm DNSSEC kayıt tipleri için birinci sınıf destekle birleştirilmiş domain başına bir özellik bayrağıdır. Sign-and-serve TR7 GTM düğümünde gerçekleşir; anahtar emaneti operatörde kalır.
TR7 GTM'deki her DNS domain'i boolean bir şema alanı aracılığıyla DNSSEC'i bağımsız etkinleştirir veya devre dışı bırakır. Karışık dağıtımlar — bazı imzalı zone'lar, bazı imzasız — fleet genelinde taahhüt zorunlu kılmadan aynı fleet'te bir arada bulunur.
DNSKEY, DS, NSEC, NSEC3, NSEC3PARAM, RRSIG, CDS, CDNSKEY desteklenen kayıt tipi listesinin A, AAAA, CNAME, MX ve diğerleriyle birlikte parçasıdır. Şema bunları ayrı bir alt sistem olarak değil, veri olarak ele alır.
Operatör SOA serisinin nasıl artacağını seçer: DEFAULT (YYYYMMDD01 formatı), INCREASE (her değişiklikte +1), EPOCH (UNIX zaman damgası) veya OFF (manuel kontrol). Seri ilerlemesi DNSSEC doğrulayıcıları ve alt akış slave'ler için önemlidir.
AXFR/IXFR, DNSSEC kayıtlarını diğer kayıt tipleriyle birlikte transfer eder. Express modlu slave'ler master'ın imzalı yanıtlarını yeniden imzalamadan sunar — tek imzalama noktası, birden çok sunma noktası.
TR7 GTM'de DNSSEC, üçüncü taraf bir imzalayıcıya devretmeden operasyonel yüzeyi kapsar — şema, transfer, sunma, bütünlük.
Her DNS domain'i bir `dnssec` boolean alanı taşır. True olduğunda zone DNSSEC-aktif olarak ele alınır: DNSKEY ve DS kayıtları beklenir, RRSIG kayıtları kabloda her RRset'e eşlik eder ve NSEC/NSEC3 kayıtları zone'un ad alanını kapsar.
DNSKEY kayıtları (zone'un açık anahtarları) şemadaki normal kayıtlar olarak yönetilir. Operatörler DNSKEY içeriğini içe aktarır veya tanımlar; dönüşüm, eskileri kaldırmadan önce yeni DNSKEY kayıtları ekleyerek, standart önceden-yayımla dönüşüm desenlerini izleyerek ele alınır.
DS kayıtları (Delegation Signer) üst zone'da yönetilir. Üst ve alt zone'lar her ikisi de TR7 GTM'de barındırıldığında DS kayıtları doğal olarak yayılır; üst başka yerdeyse operatörler DS kayıtlarını yukarı akış teslimi için dışa aktarır.
NSEC ve NSEC3 kayıtları sorgulanan bir adın var olmadığını kanıtlar. NSEC3 zone numaralandırmasını yenmek için tuz ve yineleme ekler. Her iki kayıt tipi de şemada birinci sınıftır ve zone'un parçası olarak sunulur.
RRSIG kayıtları RRset'ler üzerindeki kriptografik imzaları taşır. Şema RRSIG'i bir kayıt tipi olarak destekler; AXFR/IXFR transferi RRSIG'leri imzalı RRset'lerle birlikte taşır.
CDS ve CDNSKEY kayıtları alt zone'un amaçlanan DS durumunu üste iletir — üst tarafı otomasyonunu (RFC 7344) etkinleştirir. Birden çok DNS sağlayıcısı arasında devirler işleten kurumlar için kullanışlıdır.
SOA seri ilerlemesi için dört operatör-seçilebilir mod: DEFAULT (tarih-temelli YYYYMMDD01), INCREASE (her değişiklikte +1), EPOCH (UNIX zaman damgası), OFF (manuel kontrol). Seri değerleri DNSSEC için kritiktir çünkü imzalı zone'lar önbelleğe alınmış imzaları geçersiz kılmak için her değişiklikte seriyi ilerletmelidir.
Her domain, NOTIFY üzerinden imzalı zone güncellemelerini gönderdiği slave sunucu IP'lerini listeleyebilir. Operatörler kendi alt akış slave'lerini çalıştırır (PowerDNS, BIND, NSD) ve dağıtık sunma için imzalı kopyalar alır.
Yukarı akış master'dan çekilen Express modlu domain'ler master'ın DNSSEC durumunu miras alır. Master imzalarsa TR7 imzalı yanıtları sunar; master imzalamazsa TR7 imzasız sunar. İmzalama kararı master'a aittir.
Tam kayıt tipi listesi (A, AAAA, AFSDB, ALIAS, CAA, CERT, CDNSKEY, CDS, CNAME, DNSKEY, DNAME, DS, HINFO, KEY, LOC, MX, NAPTR, NS, NSEC, NSEC3, NSEC3PARAM, OPENPGPKEY, PTR, RP, RRSIG, SOA, SPF, SSHFP, SRV, TKEY, TSIG, TLSA, SMIMEA, TXT, URI) birinci sınıf üye olarak sekiz DNSSEC-ilişkili tipi içerir.
TR7 GTM'de DNSSEC, zone transferi, anahtar döndürmesi, üst devri ve doğrulayıcı beklentileri ile birlikte işletilir.
DNSSEC domain başına etkinleştirilir. Operatörler DNSSEC'i zone başına dağıtır, her birini genişletmeden önce doğrular. Karışık durumlar süresiz desteklenir — bazı zone'lar imzalı, bazıları imzasız, aynı TR7 fleet'inde.
DNSKEY dönüşümü standart önceden-yayımla / çift-imza desenlerini izler: yeni anahtarı DNSKEY kaydı olarak ekle, önbelleklerin yenilenmesini bekle, aktif imzalayıcıyı değiştir, eski anahtarı emekli et. Şema her anahtarı veri olarak ele alır; dönüşüm zamanlaması operatör kontrolündedir.
RRSIG kayıtları geçerlilik aralıkları taşır. Operatörler yenileme kadansını tanımlar — tipik olarak imzalar süresi dolmadan önce yenilenir; böylece geçici imzalama-boru hattı sorunları sırasında doğrulayıcı başarısızlıkları önlenir. Platform yaklaşan süre dolumlarını operatör eylemi için yüzeye çıkarır.
NSEC zone yürümeyi sağlar (bir saldırgan tüm adları numaralandırabilir); NSEC3 yürümeyi önlemek için tuz ve yineleme ekler. Operatörler zone başına seçer — kamuya açık zone'lar numaralandırmayı önlemek için sıklıkla NSEC3 kullanır; kapalı zone'lar basitlik için NSEC kullanabilir.
Zone-kesim devri üstün bir DS kaydı yayımlamasını gerektirir. Üst zone TR7'de barındırıldığında DS kayıtları üstün kayıt setinin parçasıdır. Üst başka yerdeyken operatörler CDS kayıtlarından DS değerlerini dışa aktarır ve yukarı akışa teslim eder.
Alt akış slave sunucular imzalı zone'ları AXFR/IXFR ile alır ve sunar. Slave'ler yeniden imzalamaz; master'ın imzalarına güvenir. Bu, yeniden imzalama yükü olmadan dağıtık sunmayı (birden çok slave POP, bölgesel önbellekler) destekler.
Uyum için DNSSEC bütünlüğü gerektiren kamu-sektörü zone'ları, imzalama anahtarlarını güvenlik sınırının içinde tutmak zorundadır. TR7'nin on-prem DNSSEC'i, bir bulut sağlayıcısına devretmeden bu gereksinimi karşılar.
Bankacılık ve ödeme-işleme zone'ları, müşteriye bakan servislere karşı DNS sahteciliği saldırılarını önlemek için DNSSEC kullanır. Domain başına opt-in, bankaların DNSSEC'i daha geniş kullanıma alımdan önce her birini doğrulayarak zone başına dağıtmasına izin verir.
Master zone'u imzalar; TR7 düğümleri Express slave'ler olarak hareket eder ve master'ın imzalı yanıtlarını sunar. İmzalama bir kez gerçekleşir; sunum kenar başına yeniden imzalama yükü olmadan ölçekte gerçekleşir.
Yedeklilik için birden çok DNS sağlayıcısı kullanan kurumlar, üst zone'un mevcut DS değerlerini otomatik olarak öğrenebilmesi için TR7 üzerinden CDS kayıtları yayımlar. Üst-tarafı otomasyonu manuel dönüşüm koordinasyonunu azaltır.
TR7 GTM ile on-prem DNSSEC'i deneyin: domain başına opt-in, birinci sınıf veri olarak tüm DNSSEC kayıt tipleri, imzaları sağlam taşıyan zone transferi.