Journal Je te jure, c'est facile DNSSEC

Posté par  . Licence CC By‑SA.
Étiquettes :
7
1
jan.
2017

Alors que je tentais de réparer mon installation d'OpenDNSSEC dont l'enforcer s'était planté depuis plus de deux ans, me voici dans l'impossibilité de lire la documentation.

Car voilà : Erreur de clé chez OpenDNSSEC

Visiblement, le roulement de clé (« key rollover ») s'est pas très bien passé.

Pourtant, y a des gens qui disent que c'est pas si compliqué que ça, DNSSEC. Bon, après, il ne parle pas d'OpenDNSSEC…

  • # On va essayer de bien comprendre...

    Posté par  . Évalué à 9.

    Bon ça tombe bien, je suis en train de me documenter sur DNSSEC, c'est donc un bon exercice pour voir si j'ai bien compris.

    Au niveau de la zone opendnssec.org:

    • Les enregistrements A et AAAA sont censés être signés par la clé ZSK (Zone Signing Key) 51168 qui a priori n'existe pas/plus, ou n'est pas signée par au moins l'une des 2 KSK (Key Signing Key) en bleu.
    • Il existe une ZSK (la 7294) correctement signée par les 2 KSK, on peut supposer que les enregistrements auraient du être re-signés avec cette clé (je suppose que c'est la nouvelle, qui remplace la 51168). Quelle est la cause exacte ? Problème de resignature des enregistrements ou de la ZSK elle-même ?

    Le truc au niveau du rollover sur lequel je m'interroge, c'est la fréquence de rollover conseillée pour les KSK, à savoir 1 an. Est-ce que tout le monde respecte vraiment ça ? La publication d'une nouvelle KSK demande d'envoyer le hash de celle-ci au gérant de la zone parente pour qu'il créée un enregistrement DS avec le hash (avec la signature associée). Quand on a des dizaines de domaines ça peut vite devenir une plaie, comment ça se passe en pratique ?
    (Pour les ZSK, le rollover conseillé est tous les 3 mois, mais contrairement aux KSK, le gérant de la zone est autonome pour cette gestion, donc ça ne pose pas de problème).

    • [^] # Re: On va essayer de bien comprendre...

      Posté par  . Évalué à 3.

      Merci de compléter mon journal :) Je n'y ai pas vu d'erreurs (mais je ne suis pas spécialiste non plus).

      J'ai laissé un an pour le renouvellement de la KSK. Franchement, oui, ça me choquerait pas de voir une KSK qui ne change jamais, ou bien seulement manuellement de temps en temps.
      En pratique, si j'avais des dizaines de domaines, je ferais de l'automatisation. Par exemple, mon bureau d'enregistrement (Gandi, ils sont très bien, je n'ai pas de conflit d'intérêt) fournit une API qui permet de mettre à jour à peu près tout, et DNSSEC en fait partie. En général, un bon bureau d'enregistrement qui gère DNSSEC fournit ce genre de service.
      Il faut s'interfacer avec OpenDNSSEC. Ça doit pas prendre plus d'une semaine de boulot, documentation incluse.

  • # Les explications

    Posté par  (site web personnel, Mastodon) . Évalué à 6.

    https://lists.opendnssec.org/pipermail/opendnssec-user/2017-January/003868.html

    • [^] # Re: Les explications

      Posté par  . Évalué à 1.

      Merci, c'est effectivement plus clair avec des vraies explications. Mais d'après ce que je lis, ils ne font aucune validation des zones une fois signées. Bon, soit. Mais ce ne serait pas le rôle du signer que de faire ça ? Enfin, ce n'est pas le bon endroit pour en discuter :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.