DNSSEC: Jeden klíč pro více domén

Joe

DNSSEC: Jeden klíč pro více domén
« kdy: 05. 04. 2014, 15:34:57 »
Ahoj,
zajimalo by me, jestli je bezpecne/neni na skodu, pokud bych pouzival jeden par klicu (KSK, ZSK) pro vice domen, skyta to nejaka rizika ci obtize nebo se to tak v praxi naopak pouziva?

Diky za odpovedi.
« Poslední změna: 06. 04. 2014, 21:32:43 od Petr Krčmář »


Zlomena voda

Re:[DNSSEC] Jeden klic pro vice domen
« Odpověď #1 kdy: 05. 04. 2014, 18:58:09 »
Když se zamyslíš, k čemu ty klíče slouží, tak je snad odpověď jasná, ne?
Pro inspiraci:
Q: Musí se harddisky používat jen do počítače, nebo se s nima dají zabíjet kočky?
A: Zabíjet harddiskem lze nejen kočky, ale proč by někdo normální něco takového dělal?


Joe

Re:[DNSSEC] Jeden klic pro vice domen
« Odpověď #2 kdy: 05. 04. 2014, 20:27:56 »
No klice jsou pro podepisovani klicu/zon - ale moje otazka znela, jestli se to v praxi tak pouziva, ze se pouziva jedna sada pro X domen nebo ma kazda domena svuj vlastni par, pripadne jen vlastni ZSK.
Tvoje inspirace je uplne mimo.

Zlomena voda

Re:[DNSSEC] Jeden klic pro vice domen
« Odpověď #3 kdy: 05. 04. 2014, 20:53:06 »
Přesně tak, moje inspirace je úplně mimo, stejně jako tvoje otázka. Možná bys mohl navrhnout, aby se celosvětově používala pouze jedna sada klíčů, čímž by došlo k významné úspoře elektřiny.

Joe

Re:[DNSSEC] Jeden klic pro vice domen
« Odpověď #4 kdy: 05. 04. 2014, 21:23:36 »
Radsi nekomentuj, kdyz nemas nic k tematu a nebo zajem smysluplne odpovedet.


M.

Re:[DNSSEC] Jeden klic pro vice domen
« Odpověď #5 kdy: 05. 04. 2014, 22:00:55 »
Ano, běžně se používá jedna sada klíčů pro víc domén. Pokud jsou domény pod tvojí správou, tak to není nic divného.
Když se podíváš, tak velcí DNS hosteři/registrátoři, pokud u nich máš i DNS servery a podepisují, tak podepisují za tebe jednou sadou hromady domén.

Re:[DNSSEC] Jeden klic pro vice domen
« Odpověď #6 kdy: 06. 04. 2014, 10:15:32 »
Ano, běžně se používá jedna sada klíčů pro víc domén. Pokud jsou domény pod tvojí správou, tak to není nic divného.
Když se podíváš, tak velcí DNS hosteři/registrátoři, pokud u nich máš i DNS servery a podepisují, tak podepisují za tebe jednou sadou hromady domén.
Přesně tak. Podepisování všech zón stejnou sadou klíčů nepředstavuje žádné zásadní omezení bezpečnosti, naopak umožnuje použít i třeba menší HSM s omezenou kapacitou. V případě CZ a EU domény je takový postup i podoporován registrem, kde lze založit keyset s veřejnou částí KSK klíče a ten pak přiložit k vícero doménám.

U jiných TLD je potřeba do registru poslat přímo DS záznamy, které jsou pro každou doménu unikátní, takže tam se komunikace s registrem nezjednoduší.

Joe

Re:DNSSEC: Jeden klíč pro více domén
« Odpověď #7 kdy: 07. 04. 2014, 14:27:03 »
Parada, diky za odpovedi.

Joe

Re:DNSSEC: Jeden klíč pro více domén
« Odpověď #8 kdy: 07. 04. 2014, 15:08:19 »
Nicmene, jeste me napada, jak vytvorit takovy univerzalni KSK? Protoze v nem je vzdyt jedna dana domena - l bych samozrejme nakopirovat/nechat skript aby mi z jednoho KSK vytvoril treba 6 s jinym domenovym nazvem, ale neprijde mi to uplne prakticke a nebo se to tak pouziva a zadne elegantnejsi reseni neni?

Re:DNSSEC: Jeden klíč pro více domén
« Odpověď #9 kdy: 07. 04. 2014, 15:26:06 »
To je spravna otazka - toto bych asi resil jednoznacnym identifikatorem - bud ve stylu spolecnosti vlastnici domeny nebo tve malickosti. Ja mam teda zatim pro tech mych par domen unikatni dns klice, zatim se to da. Jen nezapomen jednou za nejakej cas klice menit. Prece jen kdo chce, muze je casem prolomit, posledni dobou je mozny vsechno :). Ale zase ciste teoreticky, pokud dojde k prolomeni klice, kdyz je spolecny pro vice domen, dopad je na vsechny domeny. Kdyz mam co domena to klic, tyka se prolomeni jen te domeny, dopad je mensi. Ale je to ciste jen na teoreticke rovine a o pravdepodobnosti utoku. Prece jen my domeny a domeny bank je jinej level zajmu... Je to potreba proste celkem zvazit.

Joe

Re:DNSSEC: Jeden klíč pro více domén
« Odpověď #10 kdy: 07. 04. 2014, 16:23:23 »
Takze "naklonovat" se spravnou domenou a stejnym klicem pro kazdou zonu?

Re:DNSSEC: Jeden klíč pro více domén
« Odpověď #11 kdy: 07. 04. 2014, 16:47:28 »
Obecně záznam typu DNSKEY nemá vazbu k doménovému jménu (narozdíl od DS záznamu, v němž je jméno domény zahashováno).

Takze "naklonovat" se spravnou domenou a stejnym klicem pro kazdou zonu?
Pokud používáš utility na podepisování z BINDu (dnssec-signzone), je asi nejbezpečnější soubory s klíčem naklonovat  a uvnitř veřejného změnit jméno držitele. S jinými postupy byly kdysi nějaké problémy (ale už jsem zapomněl s kterými a jaké). Další možností je třeba OpenDNSSEC, který sdílení klíčů podporuje jen zapnutím příslušné konfigurační volby.

Jen nezapomen jednou za nejakej cas klice menit.
V tomhle bych doporučoval střídmý přístup. Zejména u rotace KSK se komunita pomalu ale jistě přesouvá od doporučení výměny jednou ročně k doporučení vyměňovat klíče až v případě nutnosti (například při podezření na kompromitaci). Ostatně kořenová zóna se už taky blíží k pěti letům a i když běžely nějaké veřejné konzultace, stejně se do té rotace moc nikomu nechce :)

Re:DNSSEC: Jeden klíč pro více domén
« Odpověď #12 kdy: 08. 04. 2014, 07:16:50 »
Hoj,
stridma rotace ? Koukam zmena pokrocila od skoleni :). Neva, ono tim lip. Jen na druhou stranu - az budu mit kompomitovany klice, neni uz pozde ? Vymenu klicu DNSSECu jsem naplanoval 1x za rok, vygeneruje se nova sada klicu, necha se podepisovat novym a starym minimalne po dobu TTL domeny (radeji vic) a pak se smazne stary klic. Ale mozna jsem trosku paranoidni ...