A DNSSEC üzemszerű használata az NIIF-nél
Pásztor Miklós
<>
ISZT
Polákovics István
<>
NIIF Intézet
A .hu zóna DNSSEC-cel védett konfigurációja 2011 óta működik és
rendelkezésre áll: https://deneb.iszt.hu/dnssec-hu/. Ez a konfiguráció -
akár autoritatív szerver, akár rekurzív oldalon alkalmas arra, hogy
élesben, üzemszerűen is használjuk: mindössze a konfigurációs fájlokat
kell megfelelően beállítani. Erről volt már szó az a 2011-es Networkshopon
is.
Az niif.hu elsők között csatlakozott a kísérleti konfigurációhoz: a
.niif.hu zónába bevezettük a dnssec-et, és egyes rekurzív szervereken név
feloldásnál is ellenőrizzük a digitális aláírásokat.
A szerverekhez tartozó SSH kulcsok nyilvános részének DNS-ben levő
tárolására évek óta mód van: erre szolgál az SSHFP rekord, ezt ellenőrzi
az ssh VerifyHostKeyDNS opciója. Nyilvánvaló, hogy az így tárolt
információ megbízhatóságát nagyban növeli, ha a rekord dnssec-cel alá van
írva.
Az NIIF-nél üzemszerűen bevezettük az SSHFP rekordokat, ezek DNSSEC
alárírását, és az aláírás ellenőrzését. Erről, és a közben szerzett
tapasztalatokról szól az előadás.