Je me repond a moi-même. Le test en suivant la doc fournie par ISC ne fait pas de NSEC3. Il faut ajouter le parametre -3 a la generation des clefs et sans doute ajouter le nsec3parameters qui va bien (en suivant cet exemple ca marche : http://www.mail-archive.com/[email protected]/msg13005.html) Pour les clefs, il n'y a pas d'expiration. La ZSK expire a 30j mais c'est dans la configuration de bind (et c'est changeable de 7j a 2 ans a priori) Pour la KSK je suppose que c'est cote du TLD que ca va etre defini mais ca n'est qu'une supposition vu que l'on a aucune zone signee.
A noter que pour remplacer une ZSK par une autre, j'ai eu quelques desagrement et j'ai fait une suppression complete des zones signees pour repartir avec des signatures fraiches pour pouvoir supprimer les anciens fichiers de clefs. Mis a part cela et le fait que la gestion des KSK sera une horreur si il n'y a pas d'option de mise a jour automatisable avec les registrars, c'est quand meme nettement plus simple qu'avant. Christpohe -----Message d'origine----- De : Christophe HUBERT Envoyé : mardi 27 mars 2012 13:29 À : 'Michel Py'; '[email protected]' Objet : RE: DNSSEC et bind 9.9 Salut, J'ai fait un test rapide ce matin de signature avec bind 9.9. Cela fonctionne exactement comme indique dans la documentation, a savoir, creation des deux clefs et ajout de 3 lignes dans la declaration de zone. En cas de modification de la zone, elle est resignee lors d'un reload, en cas de modification de la ZSK, un reconfig suffit a la prendre en compte. La mise a jour des ZSK peut donc etre scriptees. Je n'ai pas teste le NSEC3 (ni verifie si c'était eventuellement actif par defaut), je ne sais pas encore quel est la duree de vie de la KSK generee (la ZSK est valide 1 mois) Christophe -----Message d'origine----- De : [email protected] [mailto:[email protected]] De la part de Michel Py Envoyé : lundi 26 mars 2012 18:31 À : [email protected] Objet : [FRnOG] [TECH] DNSSEC et bind 9.9 Salut la liste, Est-ce que quelqu'un a des commentaires à propos de se servir de bind 9.9 pour signer une zone ? Il paraît que c'est vachement plus facile. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
