DNSSEC klice, DS

Jan Kasprzak kas na fi.muni.cz
Pátek Listopad 9 14:58:45 CET 2012


	Dobry den,

opet po nejake dobe mam tendenci podepsat nektere svoje domeny pres DNSSEC,
a opet narazim na ty stejne problemy jako driv:

1) sprava klicu: cely ten system (= protokol) je navrzeny tak, aby clovek
	mel dva typy klicu: kratky/slaby/kratkodoby ZSK,
	a pak dlouhy/silny/dlouhodoby KSK. No ale vsechny priklady na siti
	i dokumentace BINDu pocitaji s tim, ze KSK a ZSK budou sedet vedle
	sebe v jednom a tomtez adresari. Na co se teda obtezovat se dvema
	typy klicu? To je recnicka otazka, skutecna otazka je, jak byste
	konfigurovali DNSSEC pro pripad, ze skutecne nechci mit KSK
	na tom primarnim nameserveru ktery dela autopodepisovani. Existuje
	nejaky nastroj, ktery by umel jen generovat podpisy pro DNSKEY
	zaznamy pomoci KSK? A ze bych teda mel nekde "podepisovaci server",
	a ten by tyhle veci cas od casu generoval (treba i s novymi ZSK),
	a jen ty KSK a podpisy by se kopirovaly na primarni nameserver.

2) jak dostat DS zaznam do nadrazene zony? Mam nejake domeny mimo .cz,
	a zda se ze registrator sam DNSSEC nepodporuje (aspon svoji vlastni
	domenu nemaji podepsanou). Zkusmo jsem polozil dotaz nekterym ceskym
	registratorum, kteri taky umi zahranicni TLD. Zatim mam jednu
	odpoved, ktera je "DNSSEC podporujeme u .cz a .eu domen, jinde ne".
	Takze jak to je? Je nejaka sance dostat DS do TLD jinak nez pres
	registratora? Jedna se mi napriklad o .net, kde mam yenya.net.
	Nebo je ISC DLV moje jedina sance na to, aby podpisy kontroloval
	aspon ten, kdo o to fakt bude mit zajem?

3) zjistil jsem, ze do domeny .cz se zavadi verejny klic jako samostatna
	entita "keyset" (aspon muj registrator to tak dela, nevim jestli
	to plyne z datovych struktur cz.nicu nebo ne). Coz napovida, ze by
	se zrejme jeden KSK mohl pouzit pro vic ruznych domen pod .cz.
	No ale zase BIND to vidi jinak, protoze vsechny klice ma pojmenovane
	jako K<domena>.<necodalsiho>. Je rozumna praxe pouzit jeden KSK pro
	vic domen (treba i jen pod .cz)?

	Diky,

-Yenya

-- 
| Jan "Yenya" Kasprzak  <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839      Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/    Journal: http://www.fi.muni.cz/~kas/blog/ |
Please don't top post and in particular don't attach entire digests to your
mail or we'll all soon be using bittorrent to read the list.     --Alan Cox


Další informace o konferenci Linux