web-dev-qa-db-ja.com

DNSSECで複数の等しいゾーンを管理する

権威ネームサーバー(BIND)を実行していますが、同じゾーンファイルを持つドメインが数十あります。つまり、すべて/etc/bind/db.default3を使用しています。

サーバーにDNSSECを導入することを検討していますが、これまでのところ、DNSSECに関するすべてのドキュメントでは、ゾーンごとに多くの手動手順(KSKやZSKの生成など)を実行する必要があります。 BIND 9.9のインライン署名により、一部が簡単になりますが、すべてではありません。

それで、インライン署名モードで、複数のドメインに同じKSKを使用するBINDを作成できますか?もしそうなら、これらのドメインのDSレコードに同じ値を入れることができますか?そして、なぜ私はZSKを管理しなければならないのですか?KSKが与えられた場合、BINDは私のためにそれを処理できるべきではありませんか?

4

複数のドメインに同じKSKを使用できますが、このキーに問題がある場合(暗号化されているか、秘密キーを失うか、更新を忘れているなど)を意味するため、お勧めできません。複数のドメインに影響を与えます。 DSの値はキーとドメイン名の両方から計算されるため、特定のキーについて、複数のゾーンで同じDSを使用することはできません。

また、SHA1に対する最近の攻撃( https://www.dns.cam.ac.uk/news/2020-01-09-sha-mbles.html または https:/を参照) /blog.apnic.net/2020/01/17/sha-1-chosen-prefix-collisions-and-dnssec/ DNSSECの結果の完全な説明については)を確認すれば少し軽減できますNOT TO複数のゾーンに同じキーを使用します。 (「選択したプレフィックス衝突攻撃に対する保護を強化するために、ゾーンはキーを共有しないでください。また、ゾーンには別々のZSKとKSKが必要です。」)

そして、Håkanがコメントで述べたように、最近の新しい展開では、ECDSAP256SHA256またはRSASHA256のいずれかを使用する必要があります(したがって、SHA-1は一切使用しません)。 RFC 8624セクション§3.1を参照してください(すべてのSHA-1バージョンには、「MUSTNOT」実装または「NOTRECOMMENDED」のいずれかがあります)。

3
Patrick Mevzek