DNSSEC: il proprietario del dominio possiede una chiave?

0

Lo scopo di DNSSEC è quello di prevenire alcuni attacchi come l'avvelenamento della cache, così un client può essere sicuro che la risposta che ottiene da un server DNS ricorsivo sia corretta (l'IP è l'IP corretto). Il DNS radice contiene una coppia di chiavi che firma le chiavi del livello sottostante (ad esempio .com) e così via (.com firma le chiavi per il serer DNS esempio.com).

Quando il client interroga il DNS ricorsivo (l'ultimo DNS nella gerarchia DNS), ottiene una risposta firmata. La mia domanda: chi possiede la chiave di firma che riceve il cliente? è il proprietario del dominio (esempio.com)? e chi ha fornito il proprietario del dominio con questa chiave? è la coppia di chiavi auto-generata che è firmata dal server DNS sopra di essa (.com)?

Per favore, chiariscimi la proprietà delle chiavi e chi le genera?

    
posta user9371654 16.05.2018 - 14:11
fonte

1 risposta

0

Ad ogni livello, in ogni zona, i record sono firmati da una (o più) chiave, che è essa stessa (la parte pubblica) nella zona come record DNSKEY.

Anche nella zona madre, un record DS (firmato nella zona come qualsiasi altro record in quella zona) "punta" alla DNSKEY sottostante per il fatto di essere un hash e il nome del dominio.

Questo è ripetuto ad ogni livello. Quindi, se si avvia da root con una chiave completamente attendibile (un'ancora, che deve esistere in ciascun server dei nomi ricorsivo), si trova un record DS firmato per una chiave all'interno della zona .com in cui si trova il record DNSKEY e tutti gli altri record lì sono firmati da questa chiave, incluso il record DS di una chiave per example.com in quale zona troverai un record DNSKEY che firma tutti gli altri record, quindi genera i record RRSIG.

(Questo è ovviamente semplificato dal fatto che spesso hai separato le chiavi di firma di zona e le chiavi di firma delle chiavi, ma ciò non cambia l'idea generale sopra).

I tasti sono generalmente generati automaticamente dal nameserver o da alcuni strumenti esterni con una certa frequenza (in genere contati in mesi o in pochi anni). Non devono assolutamente essere gestiti / generati dalla zona genitore, ogni zona è responsabile delle sue chiavi, quanto ne ha di esse, quanto spesso le cambia, dove sono memorizzate (come su un HSM offline per i KSK o semplicemente su il filesystem). Ogni zona fornisce solo un record DS (uno per chiave, in particolare uno per KSK, inclusi quelli che non corrispondono ancora ai record DNSKEY pubblicati, come backup), alla sua zona padre, al fine di creare la catena di fiducia.

Quindi può essere il proprietario del dominio o la firma DNSSEC (e quindi il servizio di generazione chiavi) può essere esternalizzato: alcuni provider ti daranno un nameserver che agisce come un bump nel filo, servirà una zona firmata dal tuo contenuto essendo uno schiavo dei tuoi server dei nomi che servono una zona non firmata e gestiscono le chiavi e le firme stesse.

Le firme in example.com sono possedute in un modo (dipende da cosa si intende per proprietà) dai nameserver autorevoli su questa zona. Sono pre-calcolati o calcolati quando arrivano le richieste (esistono entrambi i modelli). Le firme stesse hanno una data di inizio e una data di fine.

Utilizza uno strumento online come link per visualizzare graficamente la catena di fiducia per qualsiasi dominio. Passa il tuo mouse su varie parti dell'immagine, hai sovrapposizioni con molte informazioni utili.

Puoi anche utilizzare dig +trace +dnssec localmente.

    
risposta data 17.05.2018 - 05:51
fonte

Leggi altre domande sui tag