• # On va essayer de bien comprendre...

    Posté par . En réponse au journal Je te jure, c'est facile DNSSEC. Évalué à 9.

    Bon ça tombe bien, je suis en train de me documenter sur DNSSEC, c'est donc un bon exercice pour voir si j'ai bien compris.

    Au niveau de la zone opendnssec.org:

    • Les enregistrements A et AAAA sont censés être signés par la clé ZSK (Zone Signing Key) 51168 qui a priori n'existe pas/plus, ou n'est pas signée par au moins l'une des 2 KSK (Key Signing Key) en bleu.
    • Il existe une ZSK (la 7294) correctement signée par les 2 KSK, on peut supposer que les enregistrements auraient du être re-signés avec cette clé (je suppose que c'est la nouvelle, qui remplace la 51168). Quelle est la cause exacte ? Problème de resignature des enregistrements ou de la ZSK elle-même ?

    Le truc au niveau du rollover sur lequel je m'interroge, c'est la fréquence de rollover conseillée pour les KSK, à savoir 1 an. Est-ce que tout le monde respecte vraiment ça ? La publication d'une nouvelle KSK demande d'envoyer le hash de celle-ci au gérant de la zone parente pour qu'il créée un enregistrement DS avec le hash (avec la signature associée). Quand on a des dizaines de domaines ça peut vite devenir une plaie, comment ça se passe en pratique ?
    (Pour les ZSK, le rollover conseillé est tous les 3 mois, mais contrairement aux KSK, le gérant de la zone est autonome pour cette gestion, donc ça ne pose pas de problème).