20.8. Segurança do DNS

A DNSSEC, ou segurança do DNS, é descrita no RFC 2535. As ferramentas disponíveis para a DNSSEC serão discutidas no Manual do BIND.

Uma zona considerada segura deve ter uma ou mais chaves associadas a ela. Elas são geradas com o comando dnssec-keygen, assim como as chaves do host. O algoritmo de criptografia de DSA é usado atualmente para gerar essas chaves. As chaves públicas geradas devem ser incluídas no arquivo de zona correspondente, com uma regra $INCLUDE.

Com o comando dnssec-makekeyset, todas as chaves geradas são empacotadas em um conjunto, que deve ser transferido para a zona-pai de forma segura. Na zona-pai, o conjunto é assinado com dnssec-signkey. Os arquivos gerados por esse comando são usados para assinar as zonas com o comando dnssec-signzone, que por sua vez gera os arquivos a serem incluídos em cada zona de /etc/named.conf.