Sono in procinto di configurare DNSSEC per i miei domini. Inizialmente avrei scelto l'algoritmo 13 ( ECDSA-P256-SHA256
), ma sembra che dyn.com non mi consenta di aggiungere un record DS con un valore di algoritmo di 13. (Mi piacerebbe qualche intuizione sul motivo per cui impediscono questo)
Ho pensato, hey, non importa, ci sono due chiavi, giusto? Potrei avere il KSK come algoritmo 8 ( RSASHA256
) e mantenere lo ZSK come algoritmo 13. Lo ZSK è quello che crea comunque la maggior parte delle firme, quindi è qui che la grande vincita sarebbe.
Ma sembra che dnssec-signzone
mi abbia dato un sacco di dolore. Alla fine ho avuto l'impressione che funzionasse, ma dnssec-verify
sembra costantemente darmi il seguente errore:
$ dnssec-verify -o example.com example.com.db.signed
Loading zone 'example.com' from file 'example.com.db.signed'
Verifying the zone using the following algorithms: RSASHA256.
Missing ZSK for algorithm RSASHA256
Missing self-signed KSK for algorithm ECDSAP256SHA256
No correct RSASHA256 signature for example.com SOA
No correct RSASHA256 signature for example.com NSEC
The zone is not fully signed for the following algorithms: RSASHA256 ECDSAP256SHA256.
dnssec-verify: fatal: DNSSEC completeness test failed.
Quindi la mia domanda è:
È legale che DNSSEC abbia algoritmi diversi per ZSK e KSK? In tal caso, come posso firmare per verificare la zona utilizzando gli strumenti standard bind
DNSSEC con tale configurazione?