Автоматическая конфигурация DNSSEC через сканирование CDS

CDS - специальный тип записи в дочерней зоне, отвечающий за хранение DS-записи, которая должна быть передана в родительскую зону. Многие современные системы DNS умеют автоматически генерировать CDS-записи при подписании зоны.

Сканирование CDS — это технология автоматизированной начальной загрузки DNSSEC, опубликованная IETF в RFC 8078.

Операторы DNS, поддерживающие этот протокол, публикуют записи CDS в зоне DNS, которой они управляют. CDS содержит ту же информацию, что и запись DS, которую операторы хотят опубликовать в родительской зоне. Например:

; на примере зоны example.uz
example.uz. 3600 IN CDS 12345 13 2 0123456789abcdef0123456789abcdef0123456789abcdef0123456789abc

Агент, который запускается Администрацией домена .UZ, автоматически сканирует наличие записей CDS у операторов DNS, которые затем добавляются к домену в родительской зоне .UZ:

; в зоне .UZ:
example.uz. 3600 IN DS 12345 13 2 0123456789abcdef0123456789abcdef0123456789abcdef0123456789abc

Это обеспечивает возможность делегирования DNSSEC для домена без необходимости ручного копирования и вставки записей DS.

Политика сканирования CDS

Администрация домена .UZ развернула функцию сканирование CDS для домена верхнего уровня .UZ в 2024 году, что легло в основу нашей политики по увеличению делегирования DNSSEC для доменов в зоне .UZ.

1. Сканирование выполняется с сервера dnssec.uz. Сканируются только те домены, которые ранее были добавлены в систему DNSSEC Регистратором домена.
2. Проверяются только записи CDS; записи CDNSKEY будут игнорироваться (в дальнейшем, возможно будет добавлено сканирование CDNSKEY).
3. Записи CDS не проверяются на корректность и добавляются в систему DNSSEC как есть. Модерация производится позднее Администрацией домена .UZ.
4. Домены сканируются один раз в час.
5. Если для незащищенного домена найдена одна или несколько записей CDS, эти записи будут добавлены в базу данных как записи DS.
6. Домены сканируются каждый час. Изменения в записях CDS проверяются на соответствие существующим записям DS. Если записи CDS отличаются от записей DS в базе данных, то данные записи будут добавлены как новые записи DS.
7. На первом этапе запуска автоматизации DS, сканируются только NS-сервера из белого списка. На данный момент сюда входят NS-сервера Cloudflare, GoDaddy, deSEC и некоторые NS-сервера Регистраторов доменной зоны .UZ. Для того, чтобы добавить NS-сервер в белый список, свяжитесь с Администрацией домена .UZ по почте cctld@uzinfocom.uz.
8. Если DNS оператор зоны возвращает CDS-запись вида:

example.uz. IN CDS 0 0 0 00

(формат, описанный в разделе 4 RFC 8078), то все DS-записи домена будут удалены.

9. Следует отметить, что поскольку записи CDS для безопасности будут проверяться на соответствие существующим записям DS, невозможно исправить проблемы DNSSEC (например, когда запись DS была добавлена ​​в неподписанный домен) с помощью сканирования CDS. В такой ситуации исправления в записях DS следует вносить с помощью API либо через кабинет Регистратора.
10. Аналогично, в случае экстренной смены ключа следует использовать API либо кабинет Регистратора для обновления делегирования.

Настройка авторитативных DNS для публикации CDS-записей:

• BIND: https://bind9.readthedocs.io/en/v9.18.13/chapter5.html#fully-automated-key-and-signing-policy
• PowerDNS: https://doc.powerdns.com/authoritative/settings.html#default-publish-cdnskey