DNSSEC klice, DS

[Pavel Kankovsky]

On Fri, 9 Nov 2012, Jan Kasprzak wrote:

> 1) sprava klicu: [...] skutecna otazka je, jak byste
> 	konfigurovali DNSSEC pro pripad, ze skutecne nechci mit KSK
> 	na tom primarnim nameserveru ktery dela autopodepisovani. Existuje
> 	nejaky nastroj, ktery by umel jen generovat podpisy pro DNSKEY
> 	zaznamy pomoci KSK? A ze bych teda mel nekde "podepisovaci server",
> 	a ten by tyhle veci cas od casu generoval (treba i s novymi ZSK),
> 	a jen ty KSK a podpisy by se kopirovaly na primarni nameserver.

dnssec-signzone to v podstatě umí. Stačí mu předložit nějakou zcela 
degenerovanou zónu, která obsahuje jen SOA a požadované DNSKEY a podepsat 
pomocí KSK (a ZSK může být nový, nějaký falešný nebo vůbec žádný, když se 
použije -z).

Když se výsledek správně zkombinuje se skutečnou zónou, tak jí pak stačí
znovu podepsat dnssec-signzone pomocí ZSK, od KSK už stačí jen veřejný
klíč. Nezkoušel jsem ale zatím, jak by to snášelo automatické podepisování
samotným named (auto-dnssec).

Problém je v tom kroku, kde je výsledek potřeba nějak sloučit s původní
zónou. Hlavní potíž je SOA, které v té degenerované zóně prostě musí být,
ale bylo žádoucí by bylo použít skutečný SOA ve skutečné zóně, ovšem
současně je potřeba při výměně ZSK (která by nejlépe měla probíhat
automaticky) zvednout její sériové číslo.

A dnssec-signzone nějakému dodatečnému zpracování svého výsledku moc 
nepomáhá, protože se staží na výstupu provádět nějaký pretty-printing, a 
tak je každý záznam rozkrájený na spoustu řádek. (Zajímavé je, že ve 
starších verzích byla nedokumentovaná opšna -S, která asi nastavila 
vhodnější formátování, ale novější verze už asi nic takového nemají a -S 
dělá něco jiného.)

> 3) [...] Coz napovida, ze by
> 	se zrejme jeden KSK mohl pouzit pro vic ruznych domen pod .cz.
> 	No ale zase BIND to vidi jinak, protoze vsechny klice ma pojmenovane
> 	jako K<domena>.<necodalsiho>. Je rozumna praxe pouzit jeden KSK pro
> 	vic domen (treba i jen pod .cz)?

V zásadě by asi nic nebránilo tomu, aby se jeden klíč používal na víc 
domén (bez ohledu na to, že by se musely rozmnožit soubory, které používá 
BIND).

Pravděpodobně existují nějací lidé, které se sdílení KSK úspěšně
dopouštějí, protože mají KSK v nějakém HSM, které jich dokáže uložit jen
omezený počet, které je menší než počet spravovaných domén.

Ale nepřipadá mi, že by to bylo samo o sobě nějak moc smysluplné a
rozumné, není to úplně v souladu s pravidlem, že každý klíč by se měl
používat jen k určenému a pokud možno jedinému účelu.

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /