DNSSEC timing: absolute, relatieve en administratieve tijdsaanduidingen
Gepubliceerd op 22-02-2016
DNSSEC heeft de wereld van de DNS operator op twee belangrijke punten veranderd. Ten eerste is DNS hiermee van een voornamelijk administratief systeem geëvolueerd tot een aanzienlijk complexer cryptografisch platform dat voor een heleboel nieuwe toepassingen gebruikt kan worden. Ten tweede introduceert DNSSEC voor het eerst absolute tijden in een systeem dat voorheen alleen relatieve tijden (TTL's) kende. Bovendien interacteren deze twee verschillende timing-methoden met elkaar.
In dit artikel behandelen we de timing-aspecten van DNSSEC aan de hand van de instellingen voor OpenDNSSEC (in het bestand /etc/opendnssec/kasp.xml). Dat is de meestgebruikte DNSSEC-oplossing voor Bind named, dat op zijn beurt weer de meestgebruikte DNS-server is.
De grote registrars gebruiken veelal PowerDNS, juist vanwege de goede ingebouwde ondersteuning van DNSSEC. Uitgangspunt van de makers daarvan is echter om zo veel mogelijk te automatiseren en te verbergen voor de gebruiker — in dit geval de beheerder. Dat betekent dat PowerDNS helemaal geen timing-instellingen aanbiedt (of vraagt). We komen aan het eind van dit artikel nog even terug op deze minimalistische visie.
Een goed begrip van de tijdsinstellingen van DNSSEC is met name van belang voor de ondertekening van record sets (RRSET's), voor key roll-overs en voor de verhuizing van beveiligde domeinen — die laatste is in feite een key roll-over verdeeld over twee verschillende registrars. Gelukkig verlopen die eerste twee processen na de initiële setup (scripting/configuratie) veelal automatisch. De verwachting is dat ook beveiligde verhuizingen straks volledig geautomatiseerd kunnen gebeuren.