CDS orqali DNSSEC avtomatik sozlash

CDS - bu asosiy zonaga o'tkazilishi kerak bo'lgan DS yozuvini saqlash uchun mas'ul bo'lgan bolalar zonasidagi maxsus yozuv turi. Ko'pgina zamonaviy DNS tizimlari zonani imzolashda avtomatik ravishda CDS yozuvlarini yaratishi mumkin.

CDS skanerlash - bu IETF tomonidan RFC 8078 da nashr etilgan DNSSEC avtomatlashtirilgan ishga tushirish texnologiyasi.

Ushbu protokolni qo‘llab-quvvatlaydigan DNS operatorlari o‘z boshqaruvidagi DNS zonasida CDS yozuvlarini e’lon qilishadi. CDS operatorlar ota zonada e’lon qilishni istagan DS yozuvining aynan bir xil ma’lumotlarini o‘z ichiga oladi. Masalan:

; example.uz zonasi uchun
example.uz. 3600 IN CDS 12345 13 2 0123456789abcdef0123456789abcdef0123456789abcdef0123456789abc

.UZ domen ma’muriyati tomonidan ishga tushirilgan agent DNS operatorlarida CDS yozuvlarini avtomatik skanerlaydi va ular ota .UZ zonasidagi domen uchun qo‘shiladi:

; .UZ zonasida:
example.uz. 3600 IN DS 12345 13 2 0123456789abcdef0123456789abcdef0123456789abcdef0123456789abc

Bu DS yozuvlarini qo‘lda nusxalash va joylashtirish zaruratisiz domen uchun DNSSEC delegatsiyasini ta’minlaydi.

CDS skanerlash siyosati

.UZ domen ma’muriyati 2024-yilda CDS skanerlashni yuqori darajadagi .UZ domeni uchun joriy etdi, bu .UZ zonasidagi domenlar uchun DNSSEC delegatsiyasini oshirish siyosatimizning asosi bo‘lib xizmat qiladi.

1. Skanerlash dnssec.uz serveridan amalga oshiriladi. Faqat domen registratori tomonidan avvalroq DNSSEC tizimiga qo‘shilgan domenlar skanerlanadi.
2. Faqat CDS yozuvlari tekshiriladi; CDNSKEY yozuvlari e’tiborsiz qoldiriladi (kelajakda CDNSKEY skanerlash qo‘shilishi mumkin).
3. CDS yozuvlari tekshirilmaydi va mavjud holatda DNSSEC tizimiga qo‘shiladi. Moderatsiya keyinchalik .UZ domen ma’muriyati tomonidan amalga oshiriladi.
4. Domenlar har soat bir marta skanerlanadi.
5. Agar himoyalanmagan domen uchun bitta yoki bir nechta CDS yozuvi topilsa, ushbu yozuvlar DS yozuvlari sifatida ma’lumotlar bazasiga qo‘shiladi.
6. Domenlar har soat skanerlanadi. CDS yozuvlaridagi o‘zgarishlar mavjud DS yozuvlari bilan solishtiriladi. Agar CDS yozuvlari ma’lumotlar bazasidagi DS yozuvlaridan farq qilsa, yangi CDS yozuvlari yangilangan DS yozuvlari sifatida qo‘shiladi.
7. DS avtomatlashtirishning boshlang‘ich bosqichida faqat oq ro‘yxatdagi NS serverlar skanerlanadi. Hozircha bular Cloudflare, GoDaddy, deSEC va .UZ zonasidagi ba’zi registratorlarning NS serverlarini o‘z ichiga oladi. NS serverni oq ro‘yxatga qo‘shish uchun cctld@uzinfocom.uz manzili orqali .UZ domen ma’muriyatiga murojaat qiling.
8. Agar DNS zona operatori quyidagi formatda CDS yozuvini qaytarsa:

example.uz. IN CDS 0 0 0 00

(RFC 8078 ning 4-bo‘limida tasvirlangan format), domenning barcha DS yozuvlari o‘chiriladi.

9. Ta’kidlash joizki, xavfsizlik uchun CDS yozuvlari mavjud DS yozuvlari bilan solishtiriladi, shuning uchun CDS skanerlash yordamida DNSSEC muammolarini (masalan, DS yozuvi imzolangan bo‘lmagan domen uchun qo‘shilgan) hal qilishning imkoni yo‘q. Bunday holatda, DS yozuvlarini tuzatish API yoki Registratorning boshqaruv paneli orqali amalga oshirilishi kerak.
10. Xuddi shunday, favqulodda kalitni almashtirish zarur bo‘lsa, delegatsiyani yangilash uchun API yoki Registratorning boshqaruv panelidan foydalaning.

CDS yozuvlarini nashr qilish uchun vakolatli DNSni sozlash:

• BIND: https://bind9.readthedocs.io/en/v9.18.13/chapter5.html#fully-automated-key-and-signing-policy
• PowerDNS: https://doc.powerdns.com/authoritative/settings.html#default-publish-cdnskey