Назад | Перейти на главную страницу

Управление несколькими равными зонами с помощью DNSSEC

Я запускаю авторитетный сервер имен (BIND), и у меня есть несколько десятков доменов с идентичными файлами зон, т.е. все они используют /etc/bind/db.default3.

Я подумываю о развертывании DNSSEC на своем сервере, но до сих пор вся документация, которую я нашел по нему, требовала, чтобы я выполнял множество действий вручную для каждой зоны (например, создание KSK и ZSK). Встроенное подписывание BIND 9.9 частично упрощает задачу, но не все.

Итак, могу ли я заставить BIND в режиме встроенной подписи использовать один и тот же KSK для нескольких доменов? Если да, смогу ли я указать такое же значение в DS запись для этих доменов? И почему я должен управлять ZSK - разве BIND, имея KSK, не может позаботиться об этом за меня?

Вы можете использовать один и тот же ключ KSK для нескольких доменов, но это не лучшая идея, поскольку это означает, что если есть проблема с этим ключом (криптографически вы потеряете закрытый ключ или забудете его обновить и т. Д.) повлияет на более чем один домен. Для данного ключа вы не можете иметь один и тот же DS в нескольких зонах, поскольку значение DS вычисляется как из ключа, так и из имени домена!

Также недавние атаки на SHA1 (см. https://www.dns.cam.ac.uk/news/2020-01-09-sha-mbles.html или https://blog.apnic.net/2020/01/17/sha-1-chosen-prefix-collisions-and-dnssec/ для полного объяснения последствий для DNSSEC) можно немного смягчить, если вы убедитесь, НЕ ДЛЯ используйте один и тот же ключ для нескольких зон. («Для дополнительной защиты от атак с использованием выбранных префиксов, зоны не должны иметь общих ключей, и они должны иметь отдельные ключи ZSK и KSK».)

И, как сказал Хокан в комментариях, в настоящее время для новых развертываний вы должны использовать либо ECDSAP256SHA256, либо RSASHA256 (следовательно, никакого SHA-1). См. RFC 8624, раздел §3.1 (все версии SHA-1 либо «НЕ ДОЛЖНЫ» реализованы, либо «НЕ РЕКОМЕНДУЕТСЯ»).