¿Ejecutar un servicio DNS habilitado con DNSSEC es tan difícil como ejecutar una CA?

3

Creo que todos sabemos que ejecutar una CA es realmente difícil de lograr.

Ahora hay un "nuevo" sistema que usa firmas digitales para asociar datos con nombres: DNSSEC. DNSSEC firma los registros DNS y, por lo tanto, vincula sus valores (por ejemplo, registros TLSA / A) al nombre de dominio específico.

Para la pregunta, consideremos dos escenarios:

  1. Algunos usuarios configuran su propio servidor BIND y usan DNSSEC solo para su zona, por supuesto que publica el registro DS en la zona apropiada.
  2. Algunas compañías ofrecen un servicio DNSSEC DNS y se encargan de toda la configuración.

Ahora mi (s) pregunta (s):

¿La tarea de ejecutar un servidor DNSSEC (en cualquiera de los escenarios anteriores) es tan compleja como ejecutar su propia CA y requiere la misma cantidad de cuidado?

    
pregunta SEJPM 07.08.2015 - 14:32
fuente

2 respuestas

1

Como estamos ejecutando la solución 2 para nuestra empresa, este es un punto de vista bastante justo.

Cuando subcontrata el servicio de CA o DNSSEC, lo único que importa es cuánta confianza tiene en la compañía de terceros que le proporciona el servicio subcontratado. A fin de externalizar la complejidad, tendrá que confiar en las prácticas seguras del proveedor de CA / DNSSEC.

Para los 2 servicios, el punto principal que debe abordar es la administración de claves. Tendrá que proteger sus claves privadas para evitar ser comprometido. Como mencionó Kurt, está perfectamente bien manejar el KSK y el ZSK como se indica.

Pero la complejidad operativa experimentada para los 2 servicios es la siguiente:

  • CA : las tareas principales que debe realizar son la (re) emisión y revocación del certificado. Estos procesos son bastante simples porque si emite un certificado incorrecto, simplemente revóquelo y emita uno nuevo utilizando su certificado de emisión. Si un servicio es perturbado, es decir, certificado incorrectamente firmado o no válido, su servicio será perturbado hasta el momento en que colocará el nuevo certificado.

  • DNSSEC : la tarea principal es renunciar a la zona (según el horario de validez de la zona firmada) y también volver a firmar al agregar modificaciones a su zona DNS. Pero si algo sale mal, su zona DNSSEC no válida se almacenará en caché en otros DNS (es decir, clientes, otras empresas) generalmente durante 48 horas. Por ejemplo, si su cliente utiliza el DNS de Google (8.8.8.8 y 8.8.4.4), su zona de DNS firmada incorrectamente no se resolverá a través de los DNS de Google, lo que causará una gran interrupción del servicio. Su única oportunidad será esperar hasta que caduque su zona firmada si otros DNS la renovarán.

respondido por el Kami 27.10.2015 - 07:35
fuente
0

En realidad es bastante simple, ya que solo necesitas dos teclas (una clave de firma y una clave de firma). Utiliza la Clave de firma de clave para firmar su Clave de firma de zona, luego puede mantener la Clave de firma de clave fuera de línea (solo la necesita cuando implementa una nueva Clave de firma de zona).

La clave de firma de zona se usa para firmar información de DNS; en teoría, puede mantenerla fuera de línea, pero obviamente es más fácil mantenerla en su servidor DNS maestro y utilizarla para firmar automáticamente sus datos de DNS a medida que agrega / modifica datos de DNS. para su (s) zona (s).

Puede cambiar fácilmente la salida de la zona de inicio de sesión si hay un compromiso. También puede cambiar su clave de firma de dominio, pero obviamente desea evitar eso.

Aquí hay una buena Ejemplo sobre cómo hacer esto en Linux.

    
respondido por el Kurt 26.10.2015 - 22:10
fuente

Lea otras preguntas en las etiquetas