DNSSEC - primeira assinatura

1

Estou testando o DNSSEC com o Bind 9.7.2-P2. Eu tenho uma pergunta sobre a primeira assinatura criada em uma zona que já existe. Estou usando o DNS dinâmico.

Eu crio as duas primeiras chaves: uma KSK e uma ZSK. De acordo com o link , o primeiro ZSK precisa ser publicado por um intervalo igual para o Ipub, antes que ele possa estar ativo.

Eu crio o ZSK com uma data de publicação anterior à data de ativação. Eu reinicio o serviço e posso ver que a chave é publicada na data de publicação, mas não está ativa mais tarde, quando chega a data de ativação.

Esta é a configuração da zona dnssec.es no arquivo named.conf:

zone "dnssec.es" {
  auto-dnssec maintain;
  update-policy local;
  sig-validity-interval 1;
  key-directory "dnssec/keys_dnssec";
  type master;
  file "dnssec/db.dnssec.es";
};

Qualquer pista ??

Atenciosamente

    
por Arancha 29.11.2010 / 15:04

1 resposta

2

As considerações de tempo discutidas nesse rascunho da Internet são para quando você está rolando de uma chave para outra, para dar tempo para que as assinaturas do ZSK anterior expirem dos caches. Não é necessário pré-publicar o ZSK quando você está assinando a zona pela primeira vez.

O que aconteceu aqui é que você disse para começar a assinar a zona usando apenas uma chave, o KSK. Como não havia outras chaves publicadas, ele assinou a zona inteira com a chave que tinha disponível, o KSK. (Isso é DNSSEC legal, mas não é a configuração típica. Se houvesse um ZSK ativo, ele teria assinado o registro DNSKEY com o KSK e assinado tudo com o ZSK sozinho, mas tinha que trabalhar com o que foi dado.)

Algum tempo depois, o ZSK foi publicado (mas não ativado), por isso foi adicionado ao registro DNSKEY, mas não usado para assinatura. Mais tarde ainda, o ZSK tornou-se ativo, mas os registros na zona já estão todos assinados naquele momento, então, o nome indica que não há necessidade de fazer nenhum trabalho agora. Quando as assinaturas do KSK se aproximam de seus tempos de expiração, elas devem ser automaticamente eliminadas da zona e substituídas por assinaturas do ZSK agora ativo. Desde que você tenha sig-validade-intervalo definido para um dia, isso deve começar a acontecer amanhã.

De qualquer forma, para seus objetivos, você só queria fazer duas chaves que foram publicadas e ativas imediatamente. Não é necessário pensar nos intervalos de pré-publicação até que você role as chaves.

Evan (autor principal do BIND 9.7)

    
por 19.02.2011 / 22:25

Tags