Смотреть видеоурок

DNSSEC ― это расширение протокола DNS, использующее цифровую подпись данных DNS для обеспечения безопасности процесса преобразования доменных имен. Общую информацию о DNSSEC и его использовании можно найти на сайте ICANN и https://tools.ietf.org/html/rfc6781.

Plesk предоставляет возможность защитить данные DNS размещенных доменов с помощью DNSSEC. Вы можете сделать следующее:

  • Указать настройки для создания и обновления ключа.
  • Подписывать зоны или удалить подпись в соответствии со спецификациями DNSSEC.
  • Получать уведомления.
  • Просматривать и копировать записи ресурсов DS.
  • Просматривать и копировать наборы записей ресурсов DNSKEY.

Требования

  • Plesk для Linux с DNS-сервером BIND, не ниже Bind 9.9.
  • Расширение DNSSEC является платным и не входит в издания Plesk по умолчанию.
  • DNSSEC поддерживается на Debian 8, Debian 9, Ubuntu 14.04, Ubuntu 16.04, Ubuntu 18.04, CentOS 7, RedHat Enterprise Linux 7, Virtuozzo Linux 7.

Включение поддержки DNSSEC

Чтобы включить поддержку DNSSEC, установите расширение Plesk DNSSEC (Расширения > Каталог расширений).

image 76900

Изменение настроек DNSSEC по умолчанию

Настройки DNSSEC по умолчанию находятся на странице Инструменты и настройки > Расширения > DNSSEC. Вы можете изменить используемую по умолчанию политику создания пар ключей для подписи ключа ― Key Singing Key (KSK) и для подписи файла зоны ― Zone Signing Key (ZSK).

Рекомендуемая политика для KSK и ZSK:

  • Использовать длинный ключ и длинный период обновления ключа для KSK (Key Signing Key ― ключа для подписи ключа ZSK).

    Каждый раз при обновлении пары для подписи ключа, владелец зоны должен обновить записи DS в зоне родительского домена. Рекомендуемая политика помогает обновлять записи DS в родительской зоне как можно реже без ущерба для безопасности.

  • Использовать более короткий ключ и более короткий период обновления ключа для ZSK (Zone Signing Key ― ключа для подписи зоны).

    Пара ключей для подписи зоны обновляется автоматически. Рекомендуемая политика помогает экономить ресурсы системы без ущерба для безопасности.

Клиенты могут использовать значения по умолчанию или указывать другие значения, когда подписывают свои зоны. Более подробную информацию смотрите в разделе Использование DNSSEC на доменах.

image 76901

Защита зон DNS с помощью DNSSEC

Для использования DNSSEC владельцам доменов необходимо подписать свои зоны DNS. Более подробную информацию смотрите в разделе Использование DNSSEC на доменах.

Как обновление ключей работает в Plesk

Чтобы избежать отказа DNS на домене, Plesk использует более одного ключа в качестве KSK и более одного ключа в качестве ZSK. Ранее созданный ключ некоторое время существует параллельно с новым ключом, пока все изменения в зоне DNS не вступят в силу. Устаревшие ключи удаляются автоматически.

Обновление KSK

Plesk использует модификацию метода Double-RRset для обновления ключей для подписи ключа. Разница в том, что Plesk имеет два ключа для подписи ключа в период каждого обновления. Благодаря этой мере у владельца доменной зоны есть достаточно времени, чтобы обновить соответствующие записи DS в родительской зоне (например, период времени между событиями обновления 1 и 2 на схеме ниже).

Действия пользователя при обновлении KSK

Владелец доменной зоны уведомляется об обновлении ключей и необходимости обновить записи DS в родительской зоне. Записи DS становятся устаревшими, когда истекает срок действия самого старого ключа KSK и создается самый новый ключ KSK (например, событие обновления 2 на схеме ниже). Если владелец зоны не обновил записи DS в родительской зоне, тогда в конце периода обновления после уведомления преобразования доменного имени не происходит.

Примечание: В настоящее время текст уведомления, которое присылается владельцу зоны, не может быть изменен.

image 76537

Обновление ZSK

Чтобы у вторичного сервера DNS и сервера кэширования DNS было достаточно времени для синхронизации с первичным сервером DNS, Plesk делает следующее:

  • Добавляет новый ключ в зону за определенное время до момента обновления ключей.
  • Удаляет предыдущий ключ через то же определенное время после момента обновления ключей.

Это определенное время до и после обновления ZSK называется в Plesk переходным периодом. Переходный период составляет или 30 дней, или сумму значений TTL и Expire записи SOA этой зоны (если эта сумма превышает 30 дней). Однако переходный период не может быть дольше, чем половина периода обновления ключа ZSK, иначе функциональность обновления ключей будет нарушена, и подписи зоны станут недействительны.

Таким образом, чтобы обновление ключей ZSK выполнялось корректно, Plesk устанавливает ограничения для следующих значений:

  • Значения TTL и Expire записи SOA зоны. Их сумма не может быть длиннее определенного вычисляемого значения.
  • Период обновления ZSK. Он не может быть короче определенного вычисляемого значения.

Действия пользователя при обновлении ZSK

От владельца доменной зоны DNS не требуется никаких действий при обновлении ключей для подписи зоны.

image 76538