Hlavní navigace

Názor k článku Bezpečné DNS a DANE do každého počítače? od Kouli - Podle mne ten koncept ZSK+KSK je dobrý tak...

  • Článek je starý, nové názory již nelze přidávat.
  • 15. 8. 2016 8:27

    Kouli (neregistrovaný)

    Podle mne ten koncept ZSK+KSK je dobrý tak pro kořenovou zónu. V nižších existují často technická opatření pro jednoduchou změnu toho "top" klíče (tj. KSK) - tj. pro nové podepsání klíčů v nadřazené zóně. Podobně i v .CZ: změna KSK pro doménu něco.cz v databázi NICu je o dost jednodušší, než třeba změny certifikátů X.509 (revokace).

    Dá se na to dívat také tak, že KSK+ZSK nesníží množství dat z 2k na 1k bitů, ale že ho zvýší na 3k. Za úplně zbytečný ho považuji hlavně na serverech 2. úrovně (něco.cz), kde bývají KSK i ZSK uloženy na jednom místě a skripty okopírované z různých návodů jen podepisují/mění KSK a ZSK s různou časovou periodou. Já používám jediný RSA klíč 2k...