Межсетевое экранирование

Обновление ключа в локально безопасной зоне


Зона, которая является локально безопаснойимеет ключ ZSK и, возможно, ключ KSK, который сконфигурирован в resolver’ах клиента как доверенный ключ. Определенные сложности возникают, когда любой из ключей обновляется, хотя наличие ключа KSK для локально подписанной зоны делает обновление ключа ZSK более легким. Когда зона изменяет свой ключ ZSK и имеется ключ KSK, который не изменяется, проблема состоит в том, что следует ввести новый ключ, в то время как старый ключ может находиться в некоторых удаленных resolver’ах или кэшах name-серверов.

Решение состоит в предварительном опубликовании нового открытого ключа перед тем, как выполнить обновление. Администратор DNS должен опубликовать новый ключ как ресурсную запись DNSKEY в зонном файле перед тем, как он будет использоваться для создания подписей. Процесс состоит в следующем:

  • создать новую пару ключей;

  • добавить открытый ключ из новой пары в зонный файл (DNSKEY-ресурсная запись);

  • подписать зону с использованием закрытого ключа из текущей активной пары и подписать ключом KSK новый открытый ключ (DNSKEY-ресурсная запись);

  • подождать время, равное минимальному TTL для записи зоны;

  • удалить старую DNSKEY-ресурсную запись из множества ключей зоны и сделать истекшими RRSIG-ресурсные записи;

  • переподписать DNSKEY множество ресурсных записей новым ключом ZSK.

Следует помнить, что обновлять ключ ZSK необходимо постоянно. Администратор может выполнить первые три шага и подождать определенное время перед тем, как удалить старый DNSKEY из множества ключей, при этом продолжая подписывать зону старым DNSKEY, до тех пор, пока RRSIG в зоне не истекут. Данная процедура позволяет администратору выполнять обновление ключа оптимально.

Зоны, которые заранее опубликовывают новый открытый ключ, должны соблюдать следующие принципы:

  • безопасная зона, которая предварительно опубликовывает свой открытый ключ, должна сделать так, чтобы по крайней мере один период TTL завершался до времени обновления ключа;

  • после удаления старого открытого ключа зона должна создать новую подпись (RRSIG-ресурсную запись) для оставшихся ключей (DNSKEY-ресурсные записи) в зонном файле.

При обновлении KSK безопасная зона может не знать, какие resolver’ы хранят открытый ключ в качестве доверенного anchor’а. Если сетевой администратор имеет внешний способ (хотя бы по e-mail) контактирования с администраторами resolver’ов, которые хранят открытые ключи в качестве доверенных anchor’ов, сетевой администратор должен послать соответствующее уведомление и установить безопасные способы распространения нового доверенного anchor’а. Если такого внешнего способа не существует, администратор ничего не сможет сделать, за исключением предварительного опубликования нового ключа KSK, давая администраторам resolver’ов достаточно времени для получения нового ключа KSK.



Содержание раздела