OpenDNSSEC: DS records

Dit is de gearchiveerde site van het DNSSEC Kennisplatform (2012-2018).
Actuele informatie over DNSSEC vind je op https://sidn.nl/dnssec/.

DS records

Het DS record vormt in de vertrouwensketen (chain-of-trust) de schakel tussen een domein en de bovenliggende zone. Voor second-level domeinen onder .nl wordt het DS record dus als onderdeel van de .nl zone ondertekend en gepubliceerd, waarmee de keten 'root signature -> .nl signature -> example.nl signature' wordt gesloten. Daarvoor moet de publieke KSK-sleutel dus wel eerst naar de registry geupload worden, meestal via de beheersinterface van de registrar.

Er is op dit moment nog geen gestandaardiseerde manier om publieke sleutels (in de vorm van DS records of DNSKEY records, dat laatste voor .nl) bij de registrar in te dienen voor publicatie door de registry; meestal gebeurt dat gewoon in de web-interface.

Deze handmatige handeling wordt door OpenDNSSEC ondersteund door (in de log) een alert te geven als er een nieuw KSK-sleutelpaar is aangemaakt. Via het eerder gespecifeerde <DelegationSignerSubmitCommand> kan daarnaast bijvoorbeeld een mailberichtje met het sleutelmateriaal naar de beheerder worden gestuurd. Na publicatie van het DS record laat hij de Enforcer via het 'ods-ksmutil key ds-seen' commando weten dat het betreffende sleutelpaar in gebruik genomen kan worden. Wanneer zowel het DNSKEY record als het bijbehorende DS record overal bekend zijn, kan dit nieuwe sleutelpaar daadwerkelijk worden ingezet om zone-informatie te ondertekenen.

ZSK- en KSK-sleutelparen

Hoewel voor het ondertekenen van de DNS records in principe één cryptografisch sleutelpaar voldoende is, wordt in de praktijk met twee sleutelparen gewerkt: Het ZSK-paar (de Zone Signing Keys) wordt dan gebruikt om de record sets te ondertekenen. Die sleutelparen worden per zone gegenereerd, zodat ze makkelijk vervangen of ververst kunnen worden. De publieke ZSK-sleutel wordt niet naar de registry gestuurd maar op zijn beurt weer ondertekend met de private key van het KSK-paar (Key Signing Keys). Daarvan wordt dan de publieke sleutel als DNSKEY (voor andere top-level domeinen direct als DS record) naar de registry geupload, die deze vervolgens als ondertekend DS record publiceert.

Voordeel van deze getrapte aanpak is dat je voor het KSK-sleutelpaar sterkere encryptie kunt kiezen dan voor het ZSK-paar — daarmee blijft de hoeveelheid data voor de RRSET's beperkt — en dat je het meeste sleutelbeheer lokaal kunt doen, en dus makkelijker kunt automatiseren.

Snel op de hoogte van DNSSEC:

Interessante Case Studies

DNSSEC-implementatie Infoblox sterk verouderd

Belangrijke aandachtspunten bij het aan zetten van DNSSEC

Twee jaar geleden bespraken we de configuratie van DNSSEC op de Trinzic DDI appliances van Infoblox. De belangrijkste conclusies waren dat het ondertekenen en valideren in de grafische interface erg eenvoudig aan te zetten waren — slechts een kwestie van aanklikken — maar dat de default-instellingen wel dringend verbetering nodig hadden.

Infoblox beloofde destijds bij monde van Chief Infrastructure Officer Cricket Liu om deze zaken in een volgende release aan te passen. Inmiddels zijn we echter twee jaar en een major release verder, en blijkt er helemaal niets te zijn aangepast of toegevoegd. Daarmee zitten Infoblox-klanten met een inmiddels sterk verouderd systeem.

Wie al een Infoblox-system heeft staan en DNSSEC aan wil zetten, zal bij de configuratie daarvan extra aandacht moeten besteden aan de cryptografische default-instellingen van zijn appliance.