Dois-je renouveler les clés que j'ai déposées chez mon fournisseur de domaine?

8

J'ai configuré certains domaines avec dnssec. J'ai généré les clés et signé les zones avec zonesigner de dnssec-tools. Je sais que je dois démissionner des zones dans les 30 jours. Mais que se passe-t-il avec les clés que j'ai déposées chez mon fournisseur de domaine? Dois-je aussi renouveler les clés? Si oui, comment? Je ne trouve aucune information à ce sujet sur le site Web.

domain-name-system domain nameserver dnssec user1091344
la source

Réponses:

9

Vous n'êtes pas obligé de renouveler les clés. Contrairement aux enregistrements RRSIG, les clés DNSSEC et les signatures DS correspondantes n'ont pas de date d'expiration.

KSK (Clés de signature de clé):

Vous pouvez choisir de faire pivoter les clés de temps à autre, les raisons peuvent être par exemple que vos clés peuvent être volées et que vous ne savez pas. Si votre KSK est maintenu hors ligne et donc peu susceptible d'être compromis, il n'est pas vraiment nécessaire de faire pivoter KSK.

ZSK (clés de signature de zone):

Pour faire tourner ceux que vous n'avez pas besoin de votre fournisseur de domaine, il est donc beaucoup plus facile de faire pivoter. Bien que les ZSK soient également suffisamment sécurisés, il n'est pas vraiment nécessaire de les faire pivoter également.

Le RFC suivant est la source de diverses recommandations liées à DNSSEC:

RFC 4641 - DNSSEC Operational Practices, Version 2

.... une période d'effectivité raisonnable pour les KSK qui ont des enregistrements DS correspondants dans la zone parent est de l'ordre de 2 décennies ou plus . Autrement dit, si l'on ne prévoit pas de tester la procédure de retournement, la clé devrait être efficace pour toujours, et uniquement retournée en cas d'urgence.

Sandman4
la source
Si je tourne les clés de signature de clés, est-ce que j'obtiendrai de nouvelles signatures DS?
user1091344
vous devez vous envoyer de nouvelles clés de signature de clé publique à votre fournisseur de domaine et ils doivent créer les nouveaux enregistrements DS correspondants.
Sandman4
Un grand merci pour cette réponse, elle a été très utile. J'aimerais pouvoir vous donner plus qu'un +1 pour la réponse.
Mark Tomlin
0

DNSSSEC a le concept de clés de signature de zone que vous auriez sur vos 30 jours notés (avec un certain chevauchement). Les clés que vous avez soumises au registraire sont appelées clés de signature de clé et peuvent avoir un calendrier de rotation différent.

Je pense que vous pouvez même créer plusieurs ZSK signés avec votre KSK, puis garder le KSK hors ligne.

devenir plus sage
la source