Vlákno názorů k článku Klíč kořenové zóny se letos změní: správci serverů by měli dávat pozor od M. - Tak tohle je řízená výměna. Co kdyby ale...

18. 5. 2017 13:00

M. (neregistrovaný)

Tak tohle je řízená výměna. Co kdyby ale byl ten starý klíč kompromitován? Jak se důvěryhodně rozšíří nový root key, když nebude moct být podepsán tím starým?
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 5. 2017 13:07

Sten (neregistrovaný)

To se, podobně jako u certifikačních autorit, řeší tak, že máte ty klíče dva: Key-Signing Key a Zone-Signing Key. Pokud vám někdo klíč ukradne, velmi pravděpodobně to bude ZSK, který musí být na strojích podepisujících zóny online. Tím ale nejde podepsat výměna klíče. KSK je naproti tomu někde ukrytý a používá se jen offline k podpisu ZSK a nového KSK.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 5. 2017 13:43

M. (neregistrovaný)

Aha. Teď se tedy bude měnit ten ZSK, KSK se měnit nebude..
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 5. 2017 14:19

Sten (neregistrovaný)

Teď se bude měnit KSK. ZSK se mění často, ale protože je vždy podepsaný KSK, jehož veřejnou část DNS servery znají, není potřeba na nich nic měnit.

Dále u nás najdete