Názor k článku Bezpečnost kořenové zóny je v transparentnosti, řekl Ondřej Filip na CSNOG 2023 od Danny - Vetsinu tech lidi tam realne nepotrebujete. Na nich...

Vetsinu tech lidi tam realne nepotrebujete. Na nich bezpecnost fakt nestoji. Bez CO/SO se obejdete, staci nekdo kdo otevre trezor, ze? ;-) Pripadne staci, ze se tech trezoru zmocnite.

Ona fakt kompromitovane HSM rovna se vymenit trust KSK na vsech validujicich resolverech, ze? ;-) A to uz takova prdel neni, jak to na prvni pohled vypada (jasne, mame RFC, dle kterych by to melo probehnout automaticky a vcelku rychle... ale vime jak to v praxi obcas funguje). A porad je to proces, co nejakou dobu trva - a ano, problemy kolem toho casto vedou k tomu, ze lidi tu validaci radsi vypnou...

S rotaci zkusenosti mame - s vymenou KSK-2010 se zaclo v rijnu 2016 (kdy se vygeneroval dnes pouzivany KSK-2017), novy KSK se v root zone objevil v cervenci 2017, realne podepisovat se s nim zaclo v rijnu 2018 a puvodni klic byl revokovan az 11.ledna 2019... no a od te doby se nemenilo nic. Kdyby to bylo tak easy-peasy, tak se klic muze menit kazdy rok ;-)

A vcil mudrujte, jak vymenite klice v pripade kompromitace nejak rychle... :-) A ze to neni problem? Jsou mj. zdokumentovane pripady, kdy z Ciny "omylem" do BGP utekl prefix nejakeho root serveru. A vetsina root DNS serveru pro svuj prefix nema vypublikovany ani RPKI ROA, takze ty unosy jsou jeste o to jednodussi. A ted si predstavte, ze by o HSM projevili "zajem" aktualne v Rusku. A co by se delo v mezidobi, nez by se vymenil kompromitovany KSK radsi domyslet nechci...