DNSSEC je varnostna razširitev DNS protokola, ki omogoča avtentikacijo in integriteto DNS podatkov.

Arnes je na svojih avtoritativnih strežnikih za domeno .si omogočil DNSSEC s 1. decembrom 2011. Od 24. decembra 2011 pa se v korenskih strežnikih (angl. root servers) nahajajo DS zapisi, kar pomeni, da je za domeno .si sklenjena veriga zaupanja.

DNSSEC izjavo o pravilnikih in postopkih (DNSSEC Practice Statement) lahko preberete tukaj.

Validacija DNSSEC se na Arnesovih rekurzivnih strežnikih izvaja že od junija 2011 (DO bit je vklopljen, RFC 3225). To pomeni da strežniki poleg ostalih zapisov zahtevajo tudi DNSSEC zapise in preverjajo ali gre za avtentične podatke, tako da jih primerjajo s tistimi na avtoritativnem strežniku.

Če domena ni podpisana, bo vse delovalo tako kot prej.

Podpisana domena pa lahko ne deluje, če:

  • so potekli digitalni podpisi;
  • je skrbnik domene izklopil DNSSEC, o tem pa ni obvestil svojo vrhnjo domeno v kateri so ostali DS zapisi;
  • so napačne ure na računalnikih;
  • požarni zidovi blokirajo večje odgovore z DNS strežnikov (porti so omejeni na 512 B, kar je potrebno spremeniti, RFC 2671).

V prvih treh primerih bo strežnik verjetno vrnil SERVFAIL odgovor, v zadnjem pa TIMEOUT. V obeh primerih končni uporabnik ne more priti do želene strani oz. poslati pošte.

Navodila za vklop DNSSEC validacije

Za vklop DNSSEC preverjanja je potrebno ločiti avtoritativno in rekurzivno vlogo domenskega strežnika. Avtoritativni strežnik ne more digitalno preverjati domen, ki jih streže, zato za tiste domene ne more vrniti zastavice AD, ki nam pove, da je bilo digitalno preverjanje domene uspešno.

Za vklop DNSSEC preverjanja na domeni .si je na rekurzivnih strežnikih zgolj potrebno vklopiti DNSSEC preverjanje od korenske domene navzdol, saj ima .si od decembra 2011 zgrajeno polno verigo zaupanja.

Za rekurzivni strežnik lahko uporabite:

V primeru težav z vzpostavitvijo in delovanjem DNSSEC-a, vam bomo pomagali na naslovu dnssec(at)register.si.