Миграция DNSSEC с переносом только ключей KSK
Краткая версия:Если DNSSec-подписанный человек вдруг заменит как ZSK (, так и все записи, относящиеся к старому ZSK), и при этом сохранит KSK (], на которые ссылается вышестоящий сервер). Это вызовет какие-то проблемы? И не вызовет ли это проблем после истечения TTL зоны/записи?
Длинная версия: Поэтому я заменяю авторитетный DNS-сервер 2012R2-(с файловой-поддержкой), на котором размещено несколько зон DNSSEC.
Судя по тому, что я выяснил, невозможно перенести ZSK для зоны, но можно перенести KSK. (Технически я могу мигрировать и то, и другое, но по какой-то причине могу импортировать только KSK в зону). Также невозможно добавить какие-либо «пользовательские» записи, связанные с DNSSEC-, когда Windows Server помечает зону как подписанную. Верхний DNS-сервер (ДВУ уровня страны)содержит только ссылки на KSK.
Если я правильно понимаю, Если я скопирую зону, сгенерировать новые ZSK и подписать ее. Затем подключите его к сети (будет иметь тот же IP-адрес, что и предыдущий сервер ). Это должно приводить только к проблемам с проверкой подписи во время TTL рассматриваемой зоны/записей (Я полагаю), и то только в том случае, если кто-то закэшировал именно запись, а не запись подписи-? (Мне также известно, что некоторые DNS-серверы-могут кешировать больше TTL зоны).
Если пользователь, подписанный DNSSec-, внезапно заменяет как ZSK (, так и все записи, относящиеся к старому ZSK), и в то же время сохраняет KSK (, на которые ссылается вышестоящий сервер). ]. Это вызовет какие-то проблемы?
Да. Вы, кажется, забываете, что записи DNS имеют TTL. Таким образом, рекурсивные распознаватели будут/могут иметь старые данные ключа в своем кэше (записи DNSKEYсо списком старых ZSK)и, следовательно, ожидают, например, найти с ними подписи. "Вдруг" никогда не перепутается с DNS. Никакие изменения не должны производиться без льготных периодов.
Судя по тому, что я выяснил, невозможно перенести ZSK для зоны, но можно перенести KSK.
Мне непонятно, что вы подразумеваете под «мигрировать» туда. ZSK по определению часто меняются, например, один раз в месяц или каждые 2 месяца, но с перекрытием.
Несмотря ни на что, у вас всегда есть этот уродливый способ что-то изменить, который работает, но открывает окно отсутствия безопасности:
- удалить DS у родителя
- подождать «достаточно» времени (минимум
DSTTL и еще кое-что) - теперь ваша зона больше не защищена DNSSEC, вы можете изменить ее содержимое по своему желанию, в том числе о ключах
- после того, как вы достигли новой желаемой конфигурации и проверили, что DNSSEC в порядке, смоделировав определенный
DSу родителя, тогда вы можете поместить эту записьDSобратно у родителя.
Конечно, если у вас есть какой-либо мониторинг в вашей зоне, который ожидает DNSSEC, он будет кричать во время процедуры (или, по крайней мере, хороший тест для мониторинга тоже).