Где и как отправить запись DNSSEC DS для IDN ccTLD

Хотя Calle Dybedahl ответил "где", я хотел бы предложить несколько советов о том, "как" вы должны включить DNSSEC для своего ccTLD (IDN или иным образом).

Страница Виктора Духовного "Распространенные ошибки" посвящена многим вещам, специфичным для DANE (использование DNSSEC в качестве якоря для сертификатов, особенно для SMTP), но его первые два пункта (и следующие за последним) действительны для любого оператора внедрение DNSSEC, особенно любого TLD.

В частности, жизненно важен первый пункт, сокращенный ниже:

Публикация записей DNSSEC DS... как заявление о моде

Поддержание этих правил требует оперативной дисциплины. Администраторы, которые ожидают "запускай и забывай", не должны публиковать подписанные зоны DNSSEC... Или они могут платить другим за размещение своих зон... Работа плохо обслуживаемых зон DNSSEC... создает проблемы не только для рассматриваемого домена, но и для все домены пытаются связаться с таким доменом. Всем будет лучше, если DNSSEC ... [воспринимается] всерьез.

Существует ряд ccTLD, чьи записи в отношении поддержания в надлежащем порядке их подписанных DNSSEC зон далеки от звездных; есть "зал позора" - просто посмотрите на ДВУ, которые встречаются более одного раза в списке отключений IANIX.

Поскольку ваш IDN ccTLD является новым TLD, DNSSEC является обязательным, поэтому даже если бы вы проглотили красную таблетку, которую предлагает вам IANIX, и отказались от DNSSEC, у вас все равно не было бы выбора, кроме как реализовать ее. Вы должны приложить все усилия для того, чтобы ваше развертывание DNSSEC считалось чрезвычайно серьезным, поскольку, как TLD, оно напрямую влияет на работу и безопасность не только вашего домена, но и любого и всех доменов, зарегистрированных в нем.

Кроме того, как бы ни был сложен и проблематичен DNSSEC, он вряд ли уйдет, и число клиентов, которые самостоятельно проверяют DNSSEC (или полагаются исключительно на службы разрешения проверки DNSSEC, такие как Google Public DNS, Comcast ISP или Verisign Public DNS), значительный, превышающий 15% всех клиентов во всем мире и значительно больше во многих странах, которые, вероятно, являются кандидатами на нДВУ с ИДИ (см. региональные и страновые развертки по предыдущей ссылке для примеров, таких как Кения, где 40% клиентов полагаются на проверку DNSSEC и в домене.KE в прошлом месяце произошел значительный сбой DNSSEC).

В ISOC есть хорошие ресурсы и PDF-файл с лучшими практиками, которые помогут вам управлять DNSSEC, если вы хотите "сделать это сами" и подписать собственную подпись DNSSEC. Но очень легко ошибиться, и без регулярного мониторинга и ответа на вызов ваши подписи DNSSEC могут устареть и сделать весь ваш домен недоступным для миллионов. Хуже того, если закрытые ключи, используемые для подписи DNSSEC, скомпрометированы, безопасность любых доменов, зависящих от DNSSEC, может быть поставлена ​​под угрозу.

Возможно, вы захотите серьезно подумать о том, не будет ли проще и дешевле в долгосрочной перспективе разместить зоны для вашего IDN ccTLD с коммерческим поставщиком DNS, который может предоставить управляемый DNSSEC (пока вы управляете стороной реестра TLD и обновляете зоны из вашей реализации реестра с использованием API управления DNS).

Один последний совет; если вы не делегируете миллионы доменов, которые не имеют записей DS в вашем ccTLD и нуждаются в отказе от участия в NSEC3, или вы работаете в Европе, где законы о конфиденциальности данных [1] [2] могут требовать использования NSEC3, вам, вероятно, следует использовать старый стиль NSEC на данный момент, так как он позволяет Google Public DNS (и другим реализациям агрессивного кэширования NSEC) поглощать атаки типа "отказ в обслуживании" NXDOMAIN и нежелательные запросы, не перенаправляя их на ваши авторитетные серверы. Если NSEC3 действительно предлагал значительную защиту от перечисления зон, его, возможно, стоило бы использовать, но сломать его несложно, если у вас приличный графический процессор и защита от атак NXDOMAIN (в 2016–2017 годах возможна только с NSEC) более полезна.

Запись DS находится в зоне делегирования, которая, если вы на самом деле настраиваете ccTLD, является корневой зоной. Так что поговорите со своим контактным лицом в ICANN о том, как передать им необходимую информацию.