quante volte un server DNS deve firmare?

1

Ho una domanda su DNSSEC e quante volte un server DNS deve firmare o, in altre parole, quante firme ci sono in un giorno. So che DNSSEC si basa su una catena di fiducia a partire dal livello di base.

Ora supponiamo di eseguire un server DNS che copre una zona con 1 milione di domini e il TTL di ogni record è di 1 ora. Inoltre, la zona cambia una volta alla settimana. Quante nuove firme ci sono in un giorno?

Posso pensare alle due possibilità seguenti:

  1. ci sono nuove firme solo quando la zona cambia, ovvero circa 1M / 7 = 143k di firme al giorno

  2. Ogni volta che scade il TTL, il record deve essere nuovamente firmato. Ciò porterebbe a 1M * 24 = 24M di firme al giorno

Quale di essi ha ragione (se esiste)? E se nessuno di loro, come e in che modo è?

Grazie mille!

    
posta Dr3w Br1ck13 07.03.2018 - 16:53
fonte

1 risposta

2

Il server DNS è libero di farlo tutte le volte che vuole / ha bisogno: le firme liftetime sono un problema di politica, coperto da un DPS (Dichiarazione politica DNSSEC). Puoi trovare esempi e buone pratiche, ma se un server vuole creare firme anche al volo, può (vedi link " Nella modalità di registrazione in tempo reale di PowerDNS, le firme, come pubblicate tramite i record RRSIG, sono calcolate al volo e pesantemente memorizzate nella cache. "o link " L'implementazione DNSSEC di Cloudflare sfrutta la generazione di firme efficienti di ECDSA per firmare i record DNSSEC al volo. ")

Le firme nei record RRSIG hanno due date: un inizio di validità e una fine.

Questo non ha nulla a che fare con il valore TTL, né le modifiche di zona (le firme cambieranno anche se la zona non cambia).

Vedi ad esempio in Un quadro per le politiche DNSSEC e le istruzioni pratiche DNSSEC sezione 4.6.5. "Durata della firma e frequenza di nuova firma" che impone un buon documento politico:

This subcomponent describes the life cycle of the Resource Record Signature (RRSIG) record.

Ora diamo un'occhiata ad alcuni DPS pubblicati:

17.6 Signature Life-time and Resigning Frequency: The KSK signatures of the TLD zone DNSKEY RRset will have a validity period of 40 days. The ZSK signatures of the TLD zone authoritative data will have a validity period of 10 days

(TTL predefinito: 86400 alias 1 giorno)

We re-sign our zones daily with a signature lifetime of 30 days.

(TTL predefinito: 3600 alias 1 ora)

RR sets are signed with ZSKs with a validity period of fourteen days and are resigned every two days. Zone file generation and the signing of new records takes place every hour.

(default TTL: 3600s)

The signing practice of the COM Zone is divided into quarterly continuous time cycles of approximately 90 days. Time cycles begin at the following dates each year: January 15th April 15th July 15th October 15th

The time cycle will never be less than 90 days, except in emergency situations (in which a key has been compromised) or if Verisign decides to begin using different key lengths.

(TTL predefinito: 172800s alias 2 giorni)

ecc.

    
risposta data 09.03.2018 - 03:16
fonte

Leggi altre domande sui tag