简洁版本:如果 DNSSec 签名的 sone 突然替换了 ZSK(以及与旧 ZSK 相关的所有记录),同时保留了 KSK(上游服务器引用)。这会引起什么麻烦吗?区域/记录的 TTL 过期后会引起麻烦吗?
长版本:因此,我正在替换托管少量 DNSSEC 区域的 2012R2 权威 DNS 服务器(文件支持)。
据我所知,无法迁移区域的 ZSK,但可以迁移 KSK。(从技术上讲,我可以迁移两者,但出于某种原因,只能在区域上导入 KSK)。当 Windows Server 将区域标记为已签名时,也无法添加任何“自定义”DNSSEC 相关记录。上游 DNS 服务器(国家级 TLD)仅包含对 KSK 的引用。
如果我理解正确,如果我复制区域,生成新的 ZSK 并对其进行签名。然后将其放在网上(将具有与之前的服务器相同的 IP)。这只会导致在相关区域/记录的 TTL 期间出现签名验证问题(我相信),并且只有当有人只缓存了记录而不是签名记录时才会出现问题?(我还知道一些 DNS 服务器可能会缓存超过区域 TTL 的内容)。
答案1
如果 DNSSec 签名的 sone 突然替换 ZSK(以及与旧 ZSK 相关的所有记录),同时保留 KSK(上游服务器引用)。这会造成麻烦吗?
是的。您似乎忘记了 DNS 记录具有 TTL。因此,递归解析器将/可能在其缓存中拥有旧密钥数据(DNSKEY列出旧 ZSK 的记录),因此期望例如找到带有它的签名。“突然”永远不会与 DNS 混合。没有宽限期就不应进行任何更改。
据我所知,无法迁移区域的 ZSK,但可以迁移 KSK。
我不清楚你说的“迁移”是什么意思。根据定义,ZSK 经常轮换,例如每月或每 2 个月轮换一次,但有重叠。
不管怎样,你总是可以用这种丑陋的方法来改变事情,虽然这有效,但却打开了一扇没有安全性的窗户:
- 删除父级的 DS
- 等待“足够”的时间(至少
DSTTL 或更长) - 现在你的区域不再受 DNSSEC 保护,你可以随意改变其内容,包括密钥
- 一旦您达到了新的所需配置,并且您已经通过在父级处模拟特定配置测试了 DNSSEC 是否正常
DS,那么您可以将该DS记录放回父级。
当然,如果您对区域进行任何需要 DNSSEC 的监控,它会在过程中尖叫(或者至少对监控进行良好的测试)。