¿Necesito renovar las claves que deposité en mi proveedor de dominio?

8

He configurado algunos dominios con dnssec. Generé las claves y firmé las zonas con zoneigner de dnssec-tools. Sé que debo renunciar a las zonas dentro de los 30 días. Pero, ¿qué pasa con las claves que deposité en mi proveedor de dominio? ¿Necesito renovar las llaves también? Si es así, ¿cómo? No puedo encontrar ninguna información sobre esto en el sitio web.

usuario1091344
fuente

Respuestas:

9

No es necesario que renueve las llaves. A diferencia de los registros RRSIG, las claves DNSSEC y las firmas DS correspondientes no tienen fecha de vencimiento.

KSK (Claves de firma clave):

Usted puede optar por Rotar claves de vez en cuando, los motivos para ello puede ser, por ejemplo, que posiblemente sus llaves robadas y que no saben. Si su KSK se mantiene fuera de línea y, por lo tanto, es poco probable que se vea comprometido, no hay necesidad real de rotar KSK.

ZSK (claves de firma de zona):

Para rotar aquellos que no necesita su proveedor de dominio, por lo tanto, es mucho más fácil rotar. Aunque si los ZSK también se mantienen lo suficientemente seguros, no hay necesidad real de rotarlos también.

El siguiente RFC es la fuente de varias recomendaciones relacionadas con DNSSEC:

RFC 4641 - Prácticas operacionales DNSSEC, Versión 2

.... un período de efectividad razonable para los KSK que tienen registros DS correspondientes en la zona principal es del orden de 2 décadas o más . Es decir, si uno no planea probar el procedimiento de reinversión, la clave debería ser efectiva esencialmente para siempre y solo reinvertirse en caso de emergencia.

Sandman4
fuente
Si giro las claves de firma de claves, ¿obtendré nuevas firmas de DS?
user1091344
debe enviarle nuevas claves de firma de clave pública a su proveedor de dominio, y ellos deben crear nuevos registros DS correspondientes.
Sandman4
Muchas gracias por esta respuesta, fue muy útil. Ojalá pudiera darte más que solo un +1 por la respuesta.
Mark Tomlin
0

DNSSSEC tiene el concepto de claves de firma de zona que tendría en sus 30 días señalados (con cierta superposición). Las claves que envió al registrador se denominan Claves de firma de claves y pueden tener un horario de rotación diferente.

Creo que incluso podría crear varios ZSK firmados con su KSK, y luego mantener el KSK fuera de línea.

cada vez más sabio
fuente