A DNSSEC üzemszerű használata az NIIF-nél

Pásztor Miklós <>
ISZT

Polákovics István <>
NIIF Intézet




 A .hu zóna DNSSEC-cel védett konfigurációja 2011 óta működik és
 rendelkezésre áll: https://deneb.iszt.hu/dnssec-hu/. Ez a konfiguráció -
 akár autoritatív szerver, akár rekurzív oldalon alkalmas arra, hogy
 élesben, üzemszerűen is használjuk: mindössze a konfigurációs fájlokat
 kell megfelelően beállítani. Erről volt már szó az a 2011-es Networkshopon
 is.

 Az niif.hu elsők között csatlakozott a kísérleti konfigurációhoz: a
 .niif.hu zónába bevezettük a dnssec-et, és egyes rekurzív szervereken név
 feloldásnál is ellenőrizzük a digitális aláírásokat.

 A szerverekhez tartozó SSH kulcsok nyilvános részének DNS-ben levő
 tárolására évek óta mód van: erre szolgál az SSHFP rekord, ezt ellenőrzi
 az ssh VerifyHostKeyDNS opciója. Nyilvánvaló, hogy az így tárolt
 információ megbízhatóságát nagyban növeli, ha a rekord dnssec-cel alá van
 írva.

 Az NIIF-nél üzemszerűen bevezettük az SSHFP rekordokat, ezek DNSSEC
 alárírását, és az aláírás ellenőrzését. Erről, és a közben szerzett
 tapasztalatokról szól az előadás.