面向注册商的 DNSSEC
在风险管理及消费者要求增强互联网安全体验等内部需求的推动下,DNSSEC 已成为注册商不可或缺的业务。
域名系统安全扩展 (DNSSEC) 为注册商提供了新的机会和挑战。威瑞信致力于与注册商分支机构合作,使 DNSSEC 尽可能简单、有价值。了解 DNSSEC 对您的意义、DNSSEC 准备工作的步骤,以及如何利用威瑞信工具、信息和其他资源有效地规划、测试和启用 DNSSEC。
注册商对于 DNSSEC 取得成功具有关键的作用。一些互联网服务提供商 (ISP) 和 .net/.com 注册商已开始部署 DNSSEC。由于 DNSSEC 实施过程的复杂性,威瑞信提出了一个严谨的系统方法。ISP 需要尽快行动,以便有充足时间可以规划、部署、测试和调校 DNSSEC 的实施。
立即行动,您可将自身确立为引导者和关注安全问题的注册商,从竞争对手中脱颖而出,并可首先获得新的收入机会。您还可以对产品和服务的研发以及其他行业活动施以影响,从而令自己的业务获得支持,从中受益。
对主动注册商的益处
主动添加这个重要保护层后,您将能够:
- 帮助保护注册人的品牌和客户。
- 维护注册人的信任和忠诚。
- 吸引和留住注重安全与信誉的注册人。
- 创建新的服务项目,例如注册人区域签名。
- 开启对新类型的安全数据交易应用DNS的大门(例如,公布其他类型的公钥和验证电子邮件来源)。
- 增强互联网的可信度,保护您的核心业务。
- 对 DNSSEC 今后的发展方向施以领导力和影响力。
DNSSEC 引入了一些复杂的变化,会影响 DNS 查询和解析链中的所有各方,特别是注册商以及为注册人管理权威性名称服务器和提供关键管理服务的其他托管实体。我们提供了工具并将与您合作,共同确保成功部署 DNSSEC。
为开发注册人在部署 DNSSEC 后可能需要使用的新服务,您需要对注册人的域名签名。为注册人启用 DNSSEC 可能包括以下步骤:
- 为域名创建私钥/公钥对。
- 创建并部署该区域
- 管理密钥对。
这些过程能确保互联网生态环境内启用了 DNSSEC 的域名解析器能够验证从该区域内接收到的响应的真实性。
此外,您还需要修改对客户的接口以接受 DNSSEC 密钥数据,并修改可扩展配置协议 (EPP) 接口以将 DNSSEC 密钥数据传给交互的注册机构。
区域签名
设置区域及区域签名会涉及到以下任务:
- 建立区域签名密钥 (ZSK),对区域的记录进行签名
- 建立关键的签名密钥 (KSK),对区域中的关键记录进行签名并帮助构建信赖等级
- 生成未签名的区域
- 对区域签名
- 在脱机测试环境下测试签名系统
- 逐步采用签名,例如,首先在内部网络中使用以确保一切仍然正常运行
后续密钥管理
DNSSEC 要求定期变更私钥,以降低恶意人士可能获取密钥造成的相关风险。密钥重置需要变更区域的密钥对,并使用新的私钥重新对区域签名。如果对 KSK 进行了重置,则需要向注册机构更新新的公钥信息(DS 记录)。
密钥管理会涉及到以下任务:
- 处理 ZSK 和 KSK 的密钥重置(定期与紧急)
- 定期对安全相关的资源记录重新签名
- 根据 KSK 将母区域更新为委托签名人 (DS) 记录
其他考虑
托管签名的区域需要实施遵从 DNSSEC 的名称服务器。管理密钥需要使用专门的 DNSSEC 硬件和软件。实施与管理这些组件的过程非常复杂、耗时。您有几种选择:开发内部 DNSSEC 解决方案、购买支持 DNSSEC 的现成 DNS 产品或与有资格的管理服务提供商合作执行 DNSSEC 签名及密钥管理。
对于内部或现成解决方案,您应仔细计划与安排,将新设备集成到系统当中。此外,还需要测试它们在生产环境之外的实施情况,以确保这些设备在启用DNSS后能够正常运行。.net 和 .com 注册商可免费使用威瑞信操作测试环境 (OTE) 执行此任务。
另外,还需要调查您传统和当前的网络设备是否支持 DNSSEC。例如,它们能否处理比传统数据包大的 DNSSEC 数据包,是否支持 DNS 数据包的传输控制协议 (TCP) 和扩展机制?
随时间推移,注册商可逐步采取措施来实现其系统支持 DNSSEC 的目标,从而帮助维护注册人和最终用户的信赖、提供新的收入机会并提供竞争优势。根据业界专家的见解以及通过在根区域(.edu、.net 和 .com)中部署 DNSSEC 学到的经验教训,我们建议从以下步骤开始入手。
调查和教育
- 了解 DNSSEC 是否遵循网络安全策略。
- 了解实施 DNSSEC 的益处和挑战。
- 了解公匙加密算法、加密标准以及如何将数字签名与公匙/私钥运用到一起。
- 确保 IT 与客户服务人员接受过相应的培训。
- 计划对注册人进行 DNSSEC 培训的策略。
规划
- 制定一个采用 DNSSEC 的时间表。
- 确定如何将 DNSSEC 运用于现有 DNS 结构的方法。
- 衡量部署选择方案:内部开发、支持 DNSSEC 的现有 DNS 产品或托管服务。
评估和更新
- 确定 DNSSEC 对网络带宽的影响。(DNSSEC 会增加网络流量。)
- 考虑 DNSSEC 对 DNS 管理的影响。
- 查看并更新密钥管理政策及安全机制,以包括密钥重置计划、体现 DNSSEC 引入的新角色和职责,并确保安全存储密钥。
- 确保网络配置正确;确保区域定义准确和完整。
- 询问您的硬件供应商有关 DNSSEC 的部署规划图,以及是否可以对您现有的网络设备进行升级。
- 按照需要对 DNS 硬件和域名服务器软件进行更新,使其与 DNSSEC 达到兼容。
- 评估支持实施的产品和服务。
参与
- 注册加入威瑞信注册商论坛。
- 利用威瑞信操作测试环境 (OTE),允许您测试 DNSSEC 实施情况。
- 与行业协会、标准机构和其他软硬件供应商合作,帮助开发满足您组织需求的解决方案和途径。
威瑞信致力于降低您的 DNSSEC 实施成本,并帮助您找到适合自身的最佳 DNSSEC 部署策略。为推动 DNSSEC 实施,我们为注册商社区开发了以下工具和服务:
- 帮助保护注册人的品牌和客户。
- 维护注册人的信任和忠诚。
- 吸引和留住注重安全与信誉的注册人。
- 创建新的服务项目,例如注册人区域签名。
- 开启对新类型的安全数据交易应用DNS的大门(例如,公布其他类型的公钥和验证电子邮件来源)。
- 增强互联网的可信度,保护您的核心业务。
- 对 DNSSEC 今后的发展方向施以领导力和影响力。
威瑞信致力于降低您的 DNSSEC 实施成本,并帮助您找到适合自身的最佳 DNSSEC 部署策略。为推动 DNSSEC 实施,我们为注册商社区开发了以下工具和服务:
在计划对 .net 和 .com 启用 DNSSEC 之前,您可以利用威瑞信端到端操作测试环境对您的 DNSSEC 实施技术进行测试。
OTE 是对您在执行过程中要实施的 .net 和 .com 注册平台的再现。端到端环境允许您利用 .net 和 .com 域的委托签名人 (DS) 记录提交、注册及解析名称。您还可以利用 OTE 测试面向客户的前端应用程序和密钥签名功能的整合情况。
OTE 包括以下部分:
注册后端—副本后端注册,接受通过操作注册 EPP 接口和 Web 用户界面进行域名测试和DS数据测试;此副本注册系统提供区域文件更新以对名称服务器进行测试。
注册后端—副本后端注册,接受通过操作注册 EPP 接口和 Web 用户界面进行域名测试和DS数据测试;此副本注册系统提供区域文件更新以对名称服务器进行测试。
DNSSEC 技术在线论坛使技术人员能够与同事和威瑞信工程师分享关于 DNSSEC 的最佳做法,并参与公开讨论。您的员工还能够获得实施支持、签名与密钥管理指导、有关 DNSSEC 的最新动态和进展、DNSSEC 工具指南以及更多信息。此项重要的协作工具既保密又安全。
注册加入 DNSSEC 技术在线论坛。(访问受 NameStore 凭据和访问限制的约束。)无法访问?请联系我们。
DNSSEC 工具指南可通过 DNSSEC 技术在线论坛(见上述内容)获得。其中,包括开源工具介绍和市场现行可用的解决方案、工具对比矩阵、密钥管理指导、区域密钥工具以及 DNSSEC 工具。
访问 DNSSEC 工具指南系列 (PDF)
Verisign DNSSEC 软件开发套件 (SDK) 使您能够更加轻松地将名称服务器与威瑞信的 DNSSEC 系统集成在一起。您还可以利用我们的 EPP SDK 工具试验或验证 EPP 命令,而不必构建程序。
访问 EPP SDK。
技术启动训练营是指与威瑞信的首席 DNSSEC 开发工程师进行整日会话。工程师针对我们要开发的对象、EPP 接口情况以及 DNSSEC 对注册商的要求进行讨论。
DNSSEC Analyzer 是一种基于网络的工具,它可以确保特定 NDSSEC 所启用域名的“信任链”保持原样。该工具可以显示指定域名的逐步验证,并可突出显示发现的任何问题。