Re: [Ns.se] Konstigt(?) felmeddelande ifrån https://cds.registry.se
Så här står det i RFC 7344 (1), stycke 4.1 (sidan 9) om kravet på CDS och CDNSKEY (”CDS and CDNSKEY Processing Rules”):
o Signer: MUST be signed with a key that is represented in both the current DNSKEY and DS RRsets, unless the Parent uses the CDS or CDNSKEY RRset for initial enrollment; in that case, the Parent validates the CDS/CDNSKEY through some other means (see Section 6.1https://datatracker.ietf.org/doc/html/rfc7344#section-6.1 and the Security Considerations). (…)
If any these conditions fail, the CDS or CDNSKEY resource record MUST
be ignored, and this error SHOULD be logged.
<<<
Hur tolkar du texten
Jag vet inte hur man får till det i OpenDNSSEC. Kan du tillverka DS RRset och signera den utanför och sedan skjuta in den?
För jogback.se så är det enklare för den har en CSK, d.v.s. en gemensam nyckel för zonsignering och signering av DNSKEY RRset, och därmed källa för DS och CDS.
Är det OK för dig att gå över till CSK? Ev. bara temporärt tills du har fått in rätt DS. Jag vet inte hur stor zonen är. Om det bara finns 257-nycklar så borde OpenDNSSEC signera med dessa, ev. med båda.
Mats
---
Mats Dufberg
mats.dufberg@internetstiftelsen.semailto:mats.dufberg@internetstiftelsen.se
Technical Expert
Internetstiftelsen (The Swedish Internet Foundation)
Mobile: +46 73 065 3899
https://internetstiftelsen.se/
From: Ns.se
participants (1)
-
Mats Dufberg