Межсетевое экранирование

Переподписывание зоны


Зонный файл переподписывается (т.е. заново создаются RRSIG-ресурсные записи), в следующих ситуациях:

  • подписи истекли или истекут в скором времени;
  • содержимое зонного файла изменилось в результате динамического обновления;
  • один из ключей подписывания скомпрометирован или заменяется в плановом порядке.

Существуют две стратегии для переподписывания данных зоны.

  • Полное переподписывание. Все существующие записи подписи (RRSIG-ресурсные записи) удаляются, зонный файл сортируется заново, все NSEC-ресурсные записи создаются, и, наконец, создаются новые записи подписи. Полное переподписывание выполняется в следующих ситуациях:

    • зонный файл создается из некоторой back-end базы данных;
    • администратор зоны установил выполнение данного переподписывания в пакетном режиме для выполнения на конкретный день и время, основываясь на времени истечения действительности подписи.

  • Инкрементальное переподписывание. NSEC ресурсные записи модифицированы, потому что существующее множество ресурсных записей удалено, NSEC-ресурсные записи добавлены, потому что новое множество ресурсных записей добавлено в зонный файл. В этом случае подписи создаются только для тех ресурсных записей, которые были изменены. Инкрементальное переподписывание выполняется, когда изменения в содержимом зонного файла минимальны, что обычно бывает после динамического обновления.

Рекомендации:

  1. Периодическое переподписывание должно быть запланировано до истечения действительности RRSIG-ресурсных записей, существующих в зоне. Это уменьшит риск того, что подписанная зона будет фиктивной в результате истекших подписей.

  2. Серийный номер в SOA ресурсной записи должен быть увеличен перед переподписыванием зонного файла. Если данная операция не сделана, вторичные name-серверы могут не получить новые подписи, потому что они выполняют обновление исключительно на основе соответствия серийного номера SOA. В результате этого некоторые поддерживающие безопасность resolver’ы не будут иметь возможность проверять подписи (и таким образом иметь безопасный ответ), а другие — будут.



Содержание раздела