Eu executo um servidor de nomes autoritativo (BIND) e tenho algumas dúzias de domínio com arquivos de zona idênticos, ou seja, todos usam /etc/bind/db.default3 .
Estou pensando em implantar o DNSSEC no meu servidor, mas até agora toda a documentação que encontrei nele exigia que eu fizesse muitas etapas manuais por zona (como gerar o KSK e o ZSK). A assinatura inline do BIND 9.9 facilita um pouco, mas nem tudo.
Então, posso fazer o BIND, no modo de assinatura inline, usar o mesmo KSK para vários domínios? Em caso afirmativo, poderei colocar o mesmo valor no registro DS para esses domínios? E por que eu tenho que gerenciar o ZSK? O BIND não deveria, dado um KSK, ser capaz de cuidar disso para mim?
Você pode usar o mesmo KSK para vários domínios, mas não é uma boa ideia, pois isso significa que, se houver um problema com essa chave (criptograficamente, você perde a chave privada ou se esquece de renová-la, etc.) .) afetará mais de um domínio. Para uma determinada chave, você não pode ter o mesmo DS em várias zonas, uma vez que o valor do DS é calculado a partir da chave e do nome do domínio!
Tags bind domain-name-system dnssec