Så här står det i RFC 7344 (1), stycke 4.1 (sidan 9) om kravet på CDS och CDNSKEY (”CDS and CDNSKEY Processing Rules”):

 

>>> 

   o  Signer: MUST be signed with a key that is represented in both the

      current DNSKEY and DS RRsets, unless the Parent uses the CDS or

      CDNSKEY RRset for initial enrollment; in that case, the Parent

      validates the CDS/CDNSKEY through some other means (see

      Section 6.1 and the Security Considerations).

(…)

   If any these conditions fail, the CDS or CDNSKEY resource record MUST
   be ignored, and this error SHOULD be logged.

<<< 

 

Hur tolkar du texten

 

Jag vet inte hur man får till det i OpenDNSSEC. Kan du tillverka DS RRset och signera den utanför och sedan skjuta in den?

 

För jogback.se så är det enklare för den har en CSK, d.v.s. en gemensam nyckel för zonsignering och signering av DNSKEY RRset, och därmed källa för DS och CDS.

 

Är det OK för dig att gå över till CSK? Ev. bara temporärt tills du har fått in rätt DS. Jag vet inte hur stor zonen är. Om det bara finns 257-nycklar så borde OpenDNSSEC signera med dessa, ev. med båda.

 

 

 

Mats

 

---

Mats Dufberg

mats.dufberg@internetstiftelsen.se

Technical Expert

Internetstiftelsen (The Swedish Internet Foundation)

Mobile: +46 73 065 3899

https://internetstiftelsen.se/

 

 

From: Ns.se <ns.se-bounces@lists.iis.se> on behalf of Torbjörn Eklöv via Ns.se <ns.se@lists.iis.se>
Date: Wednesday, 25 May 2022 at 19:28
To: LM Jogbäck <lm@jogback.se>
Cc: ns.se@lists.iis.se <ns.se@lists.iis.se>
Subject: Re: [Ns.se] Konstigt(?) felmeddelande ifrån https://cds.registry.se

Då öppnar jag tråden igen då..... 🙂

Jag kör apgammal OpenDNSSEC där jag har en CDS enligt det här

 

mstab.se. 900 IN CDS 0 0 0 (

00 )

mstab.se. 900 IN RRSIG CDS 5 2 900 (

20220703080634 20220524085234 24267 mstab.se.

BHoQvkNU961zVEOF6pSzpiCF3whb5cPQX3AFFHTenPZO

MmP9WY51Eq8W4JgNI/4x0CiXQ8ux0YDNeREMq3BUfJCO

a4+ZMOtQ6wgj8BPPce1ibXgwLtwDdIQqb7mw/RKYpiGe

hP6du889K//yUY4yQ5NNOpoZ0NvDJh/A2koXuN/gLLsF

e4boAygdG+LK5ylZH8Sm7mzwJaWYGOS2gAocECrfFA== )

 

Enligt stiftelsen så måste CDS var direkt signerat av KSK'n och inte KSK->ZSK för att det ska fungera.

Det kan jag hålla med om även om jag inte tycker att RFC'n säger så men det ska vi INTE diskutera här....

 

Om jag ska signera ett RR med min KSK i OpenDNSSEC - hur 17 ska jag göra det?

jogback.se signeras med KSK så det stämmer tyvärr.... 🙁

 

 

 



/Torbjörn Eklöv
Interlan Gefle AB
mobil: 070 - 683 51 75
http://test-ipv6.se

 

A home without IPv6 is just a house

 

(…)