DNSSEC klice, DS
Jan Kasprzak
kas na fi.muni.cz
Pátek Listopad 9 14:58:45 CET 2012
Dobry den,
opet po nejake dobe mam tendenci podepsat nektere svoje domeny pres DNSSEC,
a opet narazim na ty stejne problemy jako driv:
1) sprava klicu: cely ten system (= protokol) je navrzeny tak, aby clovek
mel dva typy klicu: kratky/slaby/kratkodoby ZSK,
a pak dlouhy/silny/dlouhodoby KSK. No ale vsechny priklady na siti
i dokumentace BINDu pocitaji s tim, ze KSK a ZSK budou sedet vedle
sebe v jednom a tomtez adresari. Na co se teda obtezovat se dvema
typy klicu? To je recnicka otazka, skutecna otazka je, jak byste
konfigurovali DNSSEC pro pripad, ze skutecne nechci mit KSK
na tom primarnim nameserveru ktery dela autopodepisovani. Existuje
nejaky nastroj, ktery by umel jen generovat podpisy pro DNSKEY
zaznamy pomoci KSK? A ze bych teda mel nekde "podepisovaci server",
a ten by tyhle veci cas od casu generoval (treba i s novymi ZSK),
a jen ty KSK a podpisy by se kopirovaly na primarni nameserver.
2) jak dostat DS zaznam do nadrazene zony? Mam nejake domeny mimo .cz,
a zda se ze registrator sam DNSSEC nepodporuje (aspon svoji vlastni
domenu nemaji podepsanou). Zkusmo jsem polozil dotaz nekterym ceskym
registratorum, kteri taky umi zahranicni TLD. Zatim mam jednu
odpoved, ktera je "DNSSEC podporujeme u .cz a .eu domen, jinde ne".
Takze jak to je? Je nejaka sance dostat DS do TLD jinak nez pres
registratora? Jedna se mi napriklad o .net, kde mam yenya.net.
Nebo je ISC DLV moje jedina sance na to, aby podpisy kontroloval
aspon ten, kdo o to fakt bude mit zajem?
3) zjistil jsem, ze do domeny .cz se zavadi verejny klic jako samostatna
entita "keyset" (aspon muj registrator to tak dela, nevim jestli
to plyne z datovych struktur cz.nicu nebo ne). Coz napovida, ze by
se zrejme jeden KSK mohl pouzit pro vic ruznych domen pod .cz.
No ale zase BIND to vidi jinak, protoze vsechny klice ma pojmenovane
jako K<domena>.<necodalsiho>. Je rozumna praxe pouzit jeden KSK pro
vic domen (treba i jen pod .cz)?
Diky,
-Yenya
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839 Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/ Journal: http://www.fi.muni.cz/~kas/blog/ |
Please don't top post and in particular don't attach entire digests to your
mail or we'll all soon be using bittorrent to read the list. --Alan Cox
Další informace o konferenci Linux