¿Cuántas veces debe firmar un servidor DNS?

Navega tus respuestas
1

Tengo una pregunta sobre DNSSEC y cuántas veces debe firmar un servidor DNS o, en otras palabras, cuántas firmas hay en un día. Sé que DNSSEC se basa en una cadena de confianza que comienza en el nivel raíz.

Ahora supongamos que ejecuto un servidor DNS que cubre una zona con 1 millón de dominios y el TTL de cada registro es de 1 hora. Además, la zona cambia una vez por semana. ¿Cuántas firmas nuevas hay en un día?

Puedo pensar en las dos posibilidades a continuación:

  1. solo hay nuevas firmas cuando cambia la zona, es decir, alrededor de 1M / 7 = 143k de firmas por día

  2. Cada vez que caduque el TTL, el registro se debe volver a firmar. Esto llevaría a 1M * 24 = 24M de firmas por día

¿Cuál de ellos tiene razón (si corresponde)? Y si ninguno de ellos, ¿cómo y cómo está?

¡Muchas gracias!

    
pregunta Dr3w Br1ck13 07.03.2018 - 16:53
fuente

1 respuesta

2

El servidor DNS es libre de hacerlo con la frecuencia que desee / necesite: las firmas liftetime son un problema de política, cubierto por un DPS (Declaración de política de DNSSEC). Puede encontrar ejemplos y buenas prácticas, pero si un servidor desea crear firmas incluso sobre la marcha, puede (consulte enlace " En el modo de firma en vivo de PowerDNS, las firmas, tal como se presentan a través de los registros RRSIG, se calculan sobre la marcha y se almacenan en caché. "o enlace " La implementación DNSSEC de Cloudflare aprovecha la eficiente generación de firmas de ECDSA para firmar registros DNSSEC sobre la marcha. ")

Las firmas en los registros RRSIG tienen dos fechas: un principio de validez y un final.

Esto no tiene nada que ver con el valor TTL, ni los cambios de zona (las firmas cambiarán incluso si la zona no cambia).

Consulte, por ejemplo, en Un marco para políticas de DNSSEC y declaraciones de práctica de DNSSEC 4.6.5. "La duración de la firma y la frecuencia de renovación de firmas" que exige que un buen documento de política tenga:

  

Este subcomponente describe el ciclo de vida del registro de recursos      Registro de firma (RRSIG).

Ahora veamos algunos DPS publicados:

  

17.6 Vida útil de firma y frecuencia de renuncia:   Las firmas KSK de la zona TLD DNSKEY RRset tendrán un período de validez de 40 días.   Las firmas ZSK de los datos autorizados de la zona de TLD tendrán un período de validez de 10 días

(TTL predeterminado: 86400s alias 1 día)

  

Re-firmamos nuestras zonas diariamente con una vida útil de 30 días.

(TTL predeterminado: 3600s también conocido como 1 hora)

  Los conjuntos de

RR se firman con ZSK con un período de validez de catorce días y se renuncian cada dos días.   La generación de archivos de zona y la firma de nuevos registros se realiza cada hora.

(TTL predeterminado: 3600s)

  

La práctica de firma de la Zona COM se divide en ciclos de tiempo continuos trimestrales de aproximadamente 90 días. Los ciclos de tiempo comienzan en las siguientes fechas cada año:   15 de enero   15 de abril   15 de julio   15 de octubre

     

El ciclo de tiempo nunca será inferior a 90 días, excepto en situaciones de emergencia (en las que se haya comprometido una clave) o si Verisign decide comenzar a utilizar diferentes longitudes de clave.

(TTL predeterminado: 172800s alias 2 días)

etc.

    
respondido por el Patrick Mevzek 09.03.2018 - 03:16
fuente

Lea otras preguntas en las etiquetas

Sistema de archivos cifrados en un sistema Linux alojado ¿Haciendo referencia a la lista de gravedad de riesgos estándar del software?