Názory k článku Údržba DNSSEC klíčů
-
Petr (neregistrovaný)Žádný systém založený na distribuci klíčů není úplný, pokud není vyřešena revokace klíče.
Představme si hypotetický scénář, kdy nemorální insider vynese z nic.cz klíč, kterým se podepisuje .cz zóna. Prodá ho třeba nějakému rhybářovi pídícímu se po heslech homebankingu. Řekněme, že nic.cz po nějaké době zjistí, že se po síti toulá podepsaná leč nesprávná zóna, tedy že došlo ke kompromitaci klíče - jak tedy nic.cz pošle do světa informaci "starému klíči okamžitě nevěřte, věřte jen novému"? (A jak bude autorizováno, že tuhle zprávu poslal nic.cz?)
Pokud se očekává, že každý správce netrpělivě čeká u svého oblíbeného zpravodajského serveru, až se dozví o novém komprovitovaném klíči, a pak běží updatovat svůj resolver, je ... naivní. -
Revokace klicu neni zas az tak nutna. Pokud je podpisovy klic (KSK) kompromitovan, spravce domeny ho muze jednoduse "zahodit" a podepsat domenu novym klicem. Pote musi uplynout cas, kdy vyprsi TTL stareho klice a starych podpisu v cache resolveru (obvykle 1 den). Pote se bude resolver znovu dotazovat autoritativniho serveru na KSK a pouzije novy. Zde samozrejme nastane problem, protoze se novy KSK nenachazi mezi tzv. "trust anchors" resolveru. Resolver tedy bude vracet servfail a domena bude nedostupna. Administrator resolveru ho pote updatuje.
Lepsi reseni, ktere zatim neni siroce implementovano, je popsano v RFC 5011 (Automated Updates of DNS Security (DNSSEC) Trust Anchors). Zde je detailne rozebrana problematika aktualizace/revokace KSK. -
maker (neregistrovaný)Pokud jsem to správně pochopil tak jediná výhoda dvou klíčů je, že při změně ZSK nemusím otravovat svého providera. Tudíž můžu použít kratší ZSK, který je potřeba častěji měnit ale na druhou stranu nezabere mi tolik času podepsat i velkou doménu.
Co když ale jsem v situaci, že mám doménu s několika málo záznamy a navíc je velice nepravděpodobné, že by se měnily? Byl by nějaký problém použít v pouze jeden klíč (aspoň 1024b) na podpis všech záznamů? Teoreticky to podle mě možné je. Jediné co mě mate je příznak klíče (257 je KSK a 256 je ZSK). Jaký příznak mám použít v tomto případě?
Přijde mi, že dva klíče se vyplatí jen pro velké domény, které se často mění. V mém případě nevidím žádný přínos. -
Ondřej (neregistrovaný)
Při výměně KSK se snažím podepsat zónu dočasně starým i novým KSK, ale program dnssec-signzone vrací chybu:
dnssec-signzone: fatal: failed to find an SOA at the zone apex: NXRRSET
Uměl by někdo poradit o co jde? Při podpisu pouze jedním KSK proběhne vše v pořádku. Když uvedu oba, je to špatně.
Př.:
dnssec-signzone -s +-1800 -e 20120531120000 -o dnssec-test.cz -f dnssec-test.cz.signed -r /dev/urandom -a -k K.+007+07920.key K.+007+58839.key -N keep dnssec-test.cz K.+007+18725.key
ČLÁNKY DO MAILU