Estoy en el proceso de configurar DNSSEC para mis dominios. Inicialmente iba a utilizar el algoritmo 13 ( ECDSA-P256-SHA256
), pero parece que dyn.com no me permite agregar un registro de DS con un valor de algoritmo de 13. (Me encantaría saber por qué lo impiden)
Pensé, hey, no importa, hay dos claves, ¿verdad? Podría hacer que el KSK sea el algoritmo 8 ( RSASHA256
) y mantener el ZSK como el algoritmo 13. El ZSK es el que hace la mayoría de las firmas de todos modos, así que ahí es donde estaría la gran victoria.
Pero parece que dnssec-signzone
me estaba dando mucho dolor. Finalmente conseguí que pareciera que funcionó, pero dnssec-verify
parece darme constantemente el siguiente error:
$ dnssec-verify -o example.com example.com.db.signed
Loading zone 'example.com' from file 'example.com.db.signed'
Verifying the zone using the following algorithms: RSASHA256.
Missing ZSK for algorithm RSASHA256
Missing self-signed KSK for algorithm ECDSAP256SHA256
No correct RSASHA256 signature for example.com SOA
No correct RSASHA256 signature for example.com NSEC
The zone is not fully signed for the following algorithms: RSASHA256 ECDSAP256SHA256.
dnssec-verify: fatal: DNSSEC completeness test failed.
Entonces, mi pregunta es:
¿Es legal con DNSSEC tener diferentes algoritmos para ZSK y KSK? Si es así, ¿cómo puedo firmar para verificar la zona utilizando las herramientas estándar bind
DNSSEC con tal configuración?