20.8. Sicurezza DNS

L'argomento DNSSEC, o sicurezza DNS, è descritto nel documento RFC 2535. Gli strumenti disponibili per DNSSEC sono descritti nel manuale di BIND.

Una zona considerata sicura deve essere associata a una o più chiavi di zona. Queste possono essere generate con il comando dnssec-keygen al pari delle chiavi dell'host. Nell'esempio viene usato l'algoritmo di cifratura DSA per generare queste chiavi. Le chiavi pubbliche generate devono essere incluse nel file zone corrispondente con la regola $INCLUDE.

Il comando dnssec-makekeyset permette di raggruppare tutte le chiavi generate in un unico set, che deve quindi essere trasferito alla zona genitore in modo protetto. Nella zona genitore il set viene firmato con dnssec-signkey. I file generati con questo comando vengono quindi usati per firmare le zone con dnssec-signzone, che a sua volta genera i file da generare in ciascun zona in /etc/named.conf.