L'esecuzione di un servizio DNS abilitato DNSSEC è difficile quanto l'esecuzione di una CA?

Naviga le tue risposte
3

Penso che tutti sappiamo che eseguire una CA è davvero difficile da ottenere.

Ora c'è un "nuovo" sistema che utilizza le firme digitali per associare i dati ai nomi: DNSSEC. DNSSEC firma i record DNS e quindi associa i loro valori (ad esempio i record TLSA / A) al nome di dominio specifico.

Per la domanda consideriamo due scenari:

  1. Alcuni utenti impostano il proprio server BIND e utilizzano DNSSEC solo per la sua zona, ovviamente pubblica il record DS nella zona appropriata.
  2. Alcune società offrono un servizio DNS DNSSEC e si occupano di tutta la configurazione.

Ora le mie domande:

L'attività di esecuzione di un server DNSSEC (in uno dei due scenari precedenti) è complessa come l'esecuzione della propria CA e richiede la stessa cura?

    
posta SEJPM 07.08.2015 - 14:32
fonte

2 risposte

1

Poiché stiamo lavorando a 2 soluzioni per la nostra azienda, ecco un punto di vista piuttosto equo.

Quando si esternalizza il servizio CA o DNSSEC, tutto ciò che conta è quanta fiducia si ha nella società di terze parti che fornisce il servizio in outsourcing. Per esternalizzare la complessità, dovrai fare affidamento sulle pratiche sicure del fornitore CA / DNSSEC.

Per i 2 servizi, il punto principale da prendere in considerazione è la gestione delle chiavi. Dovrai proteggere le tue chiavi private per evitare di essere compromesso. Come ha detto Kurt, è perfettamente gestibile il KSK e lo ZSK come indicato.

Ma la complessità operativa con esperienza per i 2 servizi è la seguente:

  • CA : le attività principali che dovrai raggiungere sono (ri) emettere e revocare il certificato. Questi processi sono piuttosto semplici perché se si rilascia un certificato errato è sufficiente revocarlo e emetterne uno nuovo utilizzando il certificato di emissione. Se un servizio è disturbato, cioè certificato erroneamente firmato o non valido, il tuo servizio sarà disturbato fino al momento in cui inserirai il nuovo certificato.

  • DNSSEC : l'attività principale per dimettersi dalla zona (in base al tempo di aumento della validità della zona firmata) e anche ri-firmare quando aggiungi modifiche alla tua zona DNS. Ma se qualcosa va storto, la tua zona DNSSEC non valida verrà memorizzata nella cache in altri DNS (ad esempio i clienti, altre società) in genere per 48 ore. Ad esempio, se il tuo cliente utilizza il DNS di google (8.8.8.8 e 8.8.4.4) la tua zona DNS non firmata in modo errato non verrà risolta tramite i DNS di google, causando un enorme interruzione del servizio. La tua unica possibilità sarà aspettare che la zona firmata scada mentre altri DNS la rinnoveranno.

risposta data 27.10.2015 - 07:35
fonte
0

In realtà è piuttosto semplice poiché hai solo bisogno di due chiavi (la sola chiave di firma e la chiave di firma della chiave). La chiave di firma delle zone viene utilizzata per firmare la chiave di accesso alla zona, quindi è possibile mantenere offline la chiave di firma delle chiavi (è necessaria solo quando si distribuisce una nuova chiave di firma della zona).

La chiave di accesso alla zona viene utilizzata per firmare le informazioni DNS, in teoria è possibile tenerla offline, ma è ovviamente più semplice tenerla sul server DNS principale e utilizzare per firmare automaticamente i dati DNS quando si aggiungono / modificano i dati DNS per la tua zona (s).

Puoi facilmente modificare la chiave di firma della zona se c'è un compromesso. Puoi anche modificare la chiave per la firma del dominio, ma ovviamente vuoi evitarlo.

Ecco una buona esempio su come farlo in Linux.

    
risposta data 26.10.2015 - 22:10
fonte

Leggi altre domande sui tag

Quando devo eliminare un pacchetto con ICMP di tipo 3, codice 9 o 10, TCP RST o TCP ACK? Come implementare password specifiche per applicazione usando gli hash forti?