Записи DS (Delegation Signer) используются для защиты делегирования (DNSSEC). DS-запись с именем делегированной зоны помещается в родительскую зону вместе с делегирующими NS-записями. Эта DS-запись ссылается на запись DNSKEY в делегированной зоне.
В контексте DNSSEC запись DS служит важным звеном в цепочке доверия, предоставляя криптографический хэш записи DNSKEY в дочерней зоне. Этот криптографический хэш, известный как дайджест, затем подписывается закрытым ключом родительской зоны, что добавляет дополнительный уровень безопасности в процесс делегирования. Проверяя DS-запись, DNS-резольверы могут проверить подлинность и целостность DNSKEY-записей, связанных с делегированной зоной, тем самым повышая общую безопасность инфраструктуры DNS.
Компоненты записи DS
Записи DS состоят из следующих компонентов:
- Key Tag: Содержит значение тега записи ресурса DNSKEY, которая подтверждает эту подпись.
- Algorithm (алгоритм): Определяет алгоритм, используемый для создания легитимной подписи.
- Digest Type (тип дайджеста): Указывает алгоритм, используемый для создания дайджеста.
- Digest (Дайджест): Криптографическое хэш-значение ссылаемой записи DNSKEY.
| Хост | Тип | Указывает на |
| host.domain.com | DS | key_tag algorithm digest_type digest |
Зачем нужна запись DS?
Представим, что ваша родительская DNS-зона уже подписана DNSSEC и размещена здесь. И вы собираетесь делегировать поддомен вашего корневого домена куда-то еще. В этом нет ничего плохого. Но вам также нужно будет подписать делегированную поддоменную зону, чтобы сохранить цепочку доверия DNSSEC. Это можно сделать, поместив DS-запись подписанта для вашего поддомена в родительскую зону, расположенную здесь. Обратите внимание, что при настройке записи легко допустить ошибку, которая может привести к перебоям в обслуживании или другим серьезным проблемам.
DNSSEC и записи DS
DNSSEC - это протокол, предназначенный для повышения безопасности DNS путем подтверждения подлинности и целостности записей, содержащихся в системе. Этот протокол использует криптографию с открытым ключом и цифровые подписи для проверки легитимности информации DNS, гарантируя, что записи не были изменены. Чтобы помочь в этом процессе, были созданы два новых типа записей DNS: DNSKEY и DS, также известные как якоря доверия или точки доверия. Запись DNSKEY содержит открытый ключ подписи, а запись DS - хэш записи DNSKEY.
Записи Delegation Signer используются для связи поддоменов и связанных с ними открытых ключей с родительской зоной, что позволяет DNSSEC функционировать правильно. Правильно настроив записи DS, пользователи могут быть уверены в подлинности и точности информации, которую они получают от DNS.
Как проверить DS-запись
В Windows тип записи DS невозможно легко проверить, поскольку он не поддерживается Nslookup или Powershell's Resolve-DnsName. Тем не менее, у вас есть возможность установить WSL (Windows Subsystem for Linux), а затем следовать инструкциям для Linux/macOS, приведенным ниже, или использовать онлайн-инструмент поиска, например ClouDNS Free DNS tool, чтобы проверить DS-запись.
Если вы являетесь пользователем Linux/macOS, вы можете открыть терминал и проверить DS-запись через DIG. Вот пример:
| 1 | dig example.com ds |
После этого появится информация о DS-записях.
ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
Когда мне нужны записи в DS?
Ответ: Когда требуется включить DNSSEC, в родительской зоне следует установить DS-записи. Они также необходимы каждый раз, когда требуется обновить открытый ключ доменного имени.
Кто может настраивать DS-записи?
Ответ: Только регистратор и владелец домена имеют доступ к файлу зоны DNS, что означает, что только они имеют право устанавливать и поддерживать DS-записи.
Могу ли я добавить DS-запись для поддомена, если для того же имени хоста уже есть другие записи, например A, MX, TXT и т. д.?
Ответ: Нет, не можете. Прежде всего, для того чтобы вы могли добавить DS-запись для своего поддомена, необходимо, чтобы часть делегирования вашего поддомена была в действии. Проще говоря, сначала должны быть добавлены соответствующие NS-записи для вашего поддомена, так сказать, «делегаторы». А чтобы добавить NS-записи, для данного имени хоста не должно быть других записей.
Всем ли доменам нужны записи DNS DS?
Ответ: Нет, DS-записи нужны только тем доменам, которые используют DNSSEC для дополнительной безопасности. Если вы не используете DNSSEC, у вас не будет DS-записей.
Как часто следует обновлять DS-записи?
Ответ: Записи DS могут потребовать обновления при изменении ключа или алгоритма DNSSEC. Регулярно просматривайте и обновляйте эти записи в соответствии с политикой безопасности или требованиями к переносу ключа.