Am 02.05.2010 08:42, schrieb Martin Schmitt: > Das wurde bei Deiner foo-Domain nicht so deutlich: Bedeutet der > CA-Vergleich, daß der KSK ein globaler Key ist, der vom Nameserver zum > Signieren der ZSKs verwendet wird? Gibt man dann ausschließlich den KSK > public key an alle Registries, bei denen man Domains hat und die DNSSEC > unterstützen?
Der KSK ist global für die betreffende Domain, der wird für die Validierung der ZSK verwendet. Der KSK hat eigentlich nur den Zweck, dass man bei den ZSKs einen "fliegenden Wechsel" machen kann, d.h. dass für eine bestimmte Zeit der alte und der neue ZSK oder überhaupt mehrere ZSKs existieren können und dass man nicht immer bei jedem Keywechsel (ZSK) die Registry nerven muss. Es gibt noch andere Gründe, aber das kompliziert die Sache nur noch mehr. Nur der KSK muss an die Registry übermittelt werden, die den Key ihrerseits in ihre Zone aufnimmt. Für jede Domain gibt es einen eigenen KSK, was auch aus Sicherheitsgründen sinnvoll ist. > Ich bekomme das ganze noch nicht zusammen: Wer führt beim DNS-Request > die Validierung der signierten Zone durch, und aufgrund welches > Schlüsselmaterials? Der public Teil des KSK und ZSKs sind ja im Zonenfile mit enthalten. Mit dem private Key des KSK werden die ZSKs signiert und mit den private Keys der ZSKs werden dann die einzelnen Einträge signiert. Die Zonenfiles können dadurch schon recht groß werden... Die Validierung ist vom jeweiligen Resolver durchzuführen. Wegen der Komplexität ist das aber meist nur bei richtigen DNS Implementierungen wie z.B. Bind9 der Fall. Diese kleinen Appliances wie z.B. WRT54G können das üblicherweise nicht - wenn man mal OpenWRT nicht berücksichtigt. Ein typischer Desktop-PC fragt nur einfach den DNS und verlässt sich darauf, dass der betreffende DNS korrekte Daten liefert. Wie man also sieht bringt DNSSEC nur dann etwas, wenn man seinen Nameserver selber betreibt. Ob der DNS des ISPs DNSSEC unterstützt, das weiss keiner ausser dem ISP selbst... Ob DNSSEC wirklich etwas bringt, kann ich noch nicht sagen, die Systemlast ist deutlich größer und der djbdns, der wegen seiner Performance bei ISPs so beliebt ist, kann kein DNSSEC. Viele Grüße Christian -- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
