Help & probleemoplossing
IPSECKEY-record
Wat dit is
IPSECKEY-records publiceren IPsec-publieke sleutels en gateway-informatie in DNS, waardoor opportunistische IPsec mogelijk wordt — versleutelde tunnels die worden onderhandeld zonder voorafgaande sleuteluitwisseling.
Hoe je je resultaat leest
Afwezigheid is de norm. Als het aanwezig is, verdient het record alleen vertrouwen wanneer de zone DNSSEC-ondertekend is — niet-ondertekende IPSECKEY-records kunnen door een aanvaller worden vervalst om tunnels te onderscheppen.
Veelvoorkomende problemen en hoe je ze oplost
IPSECKEY gepubliceerd in een niet-ondertekende zone
Hoe het zich uit: Peers die het record gebruiken zijn kwetsbaar: een aanvaller die DNS-antwoorden kan vervalsen, kan zijn eigen sleutel invoegen en de "versleutelde" tunnel man-in-the-middlen.
Hoe je het oplost: Onderteken de zone met DNSSEC (en publiceer het DS-record) voordat je op IPSECKEY vertrouwt, of distribueer sleutels in plaats daarvan buiten de band om.