Ключ подписи зоны DNSSEC (ZSK)
Мне было поручено изучить реализацию DNSSEC на наших серверах имен. Хотя техническая сторона этого (создание ключей, подписание зон, подготовка ролловеров) относительно проста, я столкнулся с логистической проблемой. Я хочу запустить разные реализации DNSSEC на разных серверах имен.
Должен ли ключ подписи зоны DNSSEC (ZSK) быть одинаковым на всех серверах имен? Если да, то почему?
Должен ли ключ подписи зоны DNSSEC (ZSK) быть одинаковым на всех серверах имен? Если да, то почему?
Ключи подписи зоны (ZSK) и ключи подписи ключей (KSK) не требуют наличия на каком-либо из серверов имен.
По замыслу DNSSEC, DNS-сервер может отвечать на запросы с помощью предварительно подписанных записей, включая новые записи для доказательства отказа в существовании запрошенной записи.
ZSK просто должны принадлежать тому хосту, который намеревается подписать файлы зоны, остальная часть серверам имен просто нужна копия новой подписанной зоны, которую можно передать через настройки сервера имен главный-подчиненный.
Простая настройка может заключаться в наличии ZSK на главном сервере имен. У подчиненных серверов имен нет причин знать ZSK, если они не подписывают зоны.
Редактировать: Как упомянул Хокан Линдквист, ZSK и KSK технически находятся на всех серверах имен, однако только общедоступная часть ключ в виде записей DNSKEY в предварительно подписанном файле зоны. Когда я говорил выше о KSK и ZSK, я имел в виду частные части ключей, которые должны храниться в секрете.
Если вы имеете в виду на всех серверах имен, авторитетных для данной зоны, то да, они должны совместно использовать ключи, поскольку они публикуются как записи DNSKEY, которые будут использоваться рекурсивными проверяющими клиентами для проверки подписи.
Теперь сервер имен A может публиковать DNSKEY ZSK A + все RRSIG, созданные с помощью ZSK A, а сервер имен B может иметь ZSK B + все RRSIG, созданные с помощью ZSK B. И каждый с DNSKEY KSK и RRSIG с KSK соответствующего ZSK.
Для DNSSEC для проверки сервера имен необходимо найти по крайней мере один правильный путь ключей и подписей. Итак, теоретически рекурсивный сервер имен обращается только к серверу имен A и получает оттуда все записи,может получить оттуда все необходимое для проверки записей. То же самое, если он попадает только в nameserverB.
Проблема, однако, связана с частью только и тем фактом, что все кэшируются и рекурсивные серверы имен не «привязываются» к одному авторитетному серверу nameserver, но будет переключаться в зависимости от различных алгоритмов. Разрешающий сервер имен может иметь в своем кэше смесь данных, например, с DNSKEY A и RRSIG из B. Тогда проверка завершится неудачно.
Короче говоря, я был бы очень удивлен, если бы это работало надежно.
Это подробно обсуждается в этом документе: https://datatracker.ietf.org/doc/draft-huque-dnsop-multi-provider-dnssec/?include_text=1 Он пытается увидеть, как доменное имя может использовать более одного поставщика DNS одновременно для разрешения, но при этом иметь надлежащее управление DNSSEC, с различными сценариями в зависимости от того, кто подписывает это.
Вы можете проверить это, но как Хокан сказал, что, похоже, у вас есть еще одна проблема, прежде чем приступить к этой проблеме.