Preciso renovar as chaves que eu coloquei no meu provedor de domínio?

7

Eu configurei alguns domínios com o dnssec. Gerei as chaves e assinei as zonas com o zoneigner do dnssec-tools. Eu sei que devo renunciar as zonas dentro de 30 dias. Mas o que há com as chaves que eu coloquei no meu provedor de domínio? Eu preciso renovar as chaves também? Se sim, como? Não é possível encontrar informações sobre isso no site.

    
por user1091344 03.05.2012 / 00:35

2 respostas

7

Você não precisa renovar as chaves. Diferentemente dos registros RRSIG, as chaves DNSSEC e as assinaturas DS correspondentes não têm data de expiração.

KSK (chaves de assinatura de chaves):

Você pode optar por girar as chaves de tempos em tempos; por exemplo, é possível que as chaves sejam roubadas e você não saiba. Se o seu KSK é mantido offline e, portanto, improvável de ser comprometido, não há necessidade real de rodar o KSK.

ZSK (chaves de assinatura de zona):

Para rotacionar aqueles que você não precisa do seu provedor de domínio, é muito mais fácil alternar. Embora se os ZSKs também forem mantidos seguros o suficiente, não há necessidade real de girá-los também.

O seguinte RFC é a fonte de várias recomendações relacionadas ao DNSSEC:

RFC 4641 - Práticas Operacionais DNSSEC, Versão 2

.... a reasonable effectivity period for KSKs that have corresponding DS records in the parent zone is of the order of 2 decades or longer. That is, if one does not plan to test the rollover procedure, the key should be effective essentially forever, and only rolled over in case of emergency.

    
por 03.05.2012 / 09:06
0

O DNSSSEC tem o conceito de Chaves de Assinatura de Zona que você teria em seus notáveis 30 dias (com alguma sobreposição). As chaves que você enviou para o registrador são chamadas Chaves de assinatura de chaves e podem ter um cronograma de rotação diferente.

Acho que você poderia até mesmo criar vários ZSKs assinados com o seu KSK e manter o KSK offline.

    
por 03.05.2012 / 01:25