Hlavní navigace

Názor k článku Bezpečné DNS a DANE do každého počítače? od Ondřej Caletka - Podobně i v .CZ: změna KSK pro doménu...

  • Článek je starý, nové názory již nelze přidávat.
  • 15. 8. 2016 9:45

    Ondřej Caletka
    Zlatý podporovatel

    Podobně i v .CZ: změna KSK pro doménu něco.cz v databázi NICu je o dost jednodušší, než třeba změny certifikátů X.509 (revokace).

    To záleží případ od případu. Třeba revokace certifikátu od Let's Encrypt je jedno API volání, vystavení nového další tři. Změna DS záznamu v .CZ se liší registrátor od registrátora, s tím že někteří ani žádné API nemají. A změna DS záznamů v jiné TLD se zase dělá úplně jinak. Domnívám se, že drtivá většina držitelů domén edituje DS záznamy ručně a asi by něco takového nechtěla dělat každý měsíc.

    Dá se na to dívat také tak, že KSK+ZSK nesníží množství dat z 2k na 1k bitů, ale že ho zvýší na 3k.

    Tak to ale není. Stačí prolomit kterýkoli z nich a zóna je kompromitovaná.

    Za úplně zbytečný ho považuji hlavně na serverech 2. úrovně (něco.cz), kde bývají KSK i ZSK uloženy na jednom místě a skripty okopírované z různých návodů jen podepisují/mění KSK a ZSK s různou časovou periodou. Já používám jediný RSA klíč 2k...

    Dvojice klíčů nemá jen bezpečnostní, ale i výkonostní význam. Kratší klíče generují kratší podpisy, zabírají méně místa a ověřují se rychleji. Pro zóny, kde je hodně záznamů tam tedy může být výkonostní benefit, pokud je ZSK kratší než KSK. Pro zóny, kde je jen pár jmen, případně kde jsou ZSK i KSK stejně dlouhé, je použití dvojice klíčů uložených na stejném uložišti skutečně zbytečné.