[GTER] Raiz assinada com DNSSEC e âncora publica da

[Herbert Faleiros]

Olá a todos,

aqui já está em produção nos nossos recursivos.

Para quem quiser um "howto" bem simples de como implementar isso no
Bind (no meu caso o 9.7.1) segue abaixo o que fiz por aqui:

* obter uma cópia da chave num formato compatível com o Bind (o que o
IANA disponibiliza tem deixado o pessoal confuso).

# dig +noall +answer DNSKEY . > raiz

* comparar os DS RRs dos KSK's

# dnssec-dsfromkey -f raiz .
. IN DS 19036 8 1 B256BD09DC8DD59F0E0F0D8541B8328DD986DF6E
. IN DS 19036 8 2
49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32 F24E8FB5

$ curl https://data.iana.org/root-anchors/root-anchors.xml -o iana

Dê uma olhada no arquivo "iana" e verifique se estão iguais ("iana" e "raiz").

Se tudo estiver em ordem, acrescente a cláusula "managed-keys" ao seu
named.conf, ex:

managed-keys {
    "." initial-key 257 3 8 "
          AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
          FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
          bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
          X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
          W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
          Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
          QxA+Uk1ihz0= ";
};

Atualize o "dnssec-lookaside" para "auto", caso esteja usando DLV (se
não tiver adicione em "options").

Finalmente reinicie o Bind (ou execute um "rndc reconfig").

Para verificar se está funcionando:

# dig +dnssec .

nas flags verifique se tem um "ad" (authenticated data). Pode testar
com domínios .br. também.

Eu segui várias dicas de fóruns p/ efetuar essa configuração,
infelizmente eu não anotei todas as fontes (desculpem-me).

--
Herbert