DNSSEC: Jeden klíč pro více domén

[Joe]

Ahoj,
zajimalo by me, jestli je bezpecne/neni na skodu, pokud bych pouzival jeden par klicu (KSK, ZSK) pro vice domen, skyta to nejaka rizika ci obtize nebo se to tak v praxi naopak pouziva?

Diky za odpovedi.

[Reklama]

[Zlomena voda]

Když se zamyslíš, k čemu ty klíče slouží, tak je snad odpověď jasná, ne?
Pro inspiraci:
Q: Musí se harddisky používat jen do počítače, nebo se s nima dají zabíjet kočky?
A: Zabíjet harddiskem lze nejen kočky, ale proč by někdo normální něco takového dělal?

[Joe]

No klice jsou pro podepisovani klicu/zon - ale moje otazka znela, jestli se to v praxi tak pouziva, ze se pouziva jedna sada pro X domen nebo ma kazda domena svuj vlastni par, pripadne jen vlastni ZSK.
Tvoje inspirace je uplne mimo.

[Zlomena voda]

Přesně tak, moje inspirace je úplně mimo, stejně jako tvoje otázka. Možná bys mohl navrhnout, aby se celosvětově používala pouze jedna sada klíčů, čímž by došlo k významné úspoře elektřiny.

[Joe]

Radsi nekomentuj, kdyz nemas nic k tematu a nebo zajem smysluplne odpovedet.

[Reklama]

[M.]

Ano, běžně se používá jedna sada klíčů pro víc domén. Pokud jsou domény pod tvojí správou, tak to není nic divného.
Když se podíváš, tak velcí DNS hosteři/registrátoři, pokud u nich máš i DNS servery a podepisují, tak podepisují za tebe jednou sadou hromady domén.

[Ondřej Caletka]

Ano, běžně se používá jedna sada klíčů pro víc domén. Pokud jsou domény pod tvojí správou, tak to není nic divného.
Když se podíváš, tak velcí DNS hosteři/registrátoři, pokud u nich máš i DNS servery a podepisují, tak podepisují za tebe jednou sadou hromady domén.

Přesně tak. Podepisování všech zón stejnou sadou klíčů nepředstavuje žádné zásadní omezení bezpečnosti, naopak umožnuje použít i třeba menší HSM s omezenou kapacitou. V případě CZ a EU domény je takový postup i podoporován registrem, kde lze založit keyset s veřejnou částí KSK klíče a ten pak přiložit k vícero doménám.

U jiných TLD je potřeba do registru poslat přímo DS záznamy, které jsou pro každou doménu unikátní, takže tam se komunikace s registrem nezjednoduší.

[Joe]

Parada, diky za odpovedi.

[Joe]

Nicmene, jeste me napada, jak vytvorit takovy univerzalni KSK? Protoze v nem je vzdyt jedna dana domena - l bych samozrejme nakopirovat/nechat skript aby mi z jednoho KSK vytvoril treba 6 s jinym domenovym nazvem, ale neprijde mi to uplne prakticke a nebo se to tak pouziva a zadne elegantnejsi reseni neni?

[Josef Karliak]

To je spravna otazka - toto bych asi resil jednoznacnym identifikatorem - bud ve stylu spolecnosti vlastnici domeny nebo tve malickosti. Ja mam teda zatim pro tech mych par domen unikatni dns klice, zatim se to da. Jen nezapomen jednou za nejakej cas klice menit. Prece jen kdo chce, muze je casem prolomit, posledni dobou je mozny vsechno . Ale zase ciste teoreticky, pokud dojde k prolomeni klice, kdyz je spolecny pro vice domen, dopad je na vsechny domeny. Kdyz mam co domena to klic, tyka se prolomeni jen te domeny, dopad je mensi. Ale je to ciste jen na teoreticke rovine a o pravdepodobnosti utoku. Prece jen my domeny a domeny bank je jinej level zajmu... Je to potreba proste celkem zvazit.

[Joe]

Takze "naklonovat" se spravnou domenou a stejnym klicem pro kazdou zonu?

[Ondřej Caletka]

Obecně záznam typu DNSKEY nemá vazbu k doménovému jménu (narozdíl od DS záznamu, v němž je jméno domény zahashováno).

Takze "naklonovat" se spravnou domenou a stejnym klicem pro kazdou zonu?

Pokud používáš utility na podepisování z BINDu (dnssec-signzone), je asi nejbezpečnější soubory s klíčem naklonovat  a uvnitř veřejného změnit jméno držitele. S jinými postupy byly kdysi nějaké problémy (ale už jsem zapomněl s kterými a jaké). Další možností je třeba OpenDNSSEC, který sdílení klíčů podporuje jen zapnutím příslušné konfigurační volby.

Jen nezapomen jednou za nejakej cas klice menit.

V tomhle bych doporučoval střídmý přístup. Zejména u rotace KSK se komunita pomalu ale jistě přesouvá od doporučení výměny jednou ročně k doporučení vyměňovat klíče až v případě nutnosti (například při podezření na kompromitaci). Ostatně kořenová zóna se už taky blíží k pěti letům a i když běžely nějaké veřejné konzultace, stejně se do té rotace moc nikomu nechce

[Josef Karliak]

Hoj,
stridma rotace ? Koukam zmena pokrocila od skoleni . Neva, ono tim lip. Jen na druhou stranu - az budu mit kompomitovany klice, neni uz pozde ? Vymenu klicu DNSSECu jsem naplanoval 1x za rok, vygeneruje se nova sada klicu, necha se podepisovat novym a starym minimalne po dobu TTL domeny (radeji vic) a pak se smazne stary klic. Ale mozna jsem trosku paranoidni ...