Gérer les KSK automatiquement, ça nécessite de pouvoir modifier automatiquement la configuration de sa zone chez son registrar, ça peut être possible, mais ça semble normal de ne pas avoir cette logique là dans un serveur DNS. Et vu que c'est pas une opération qu'on fait souvent en général (le faire tous les ans semble largement suffisant et tous les 3 ou 5 ans pas scandaleux), on peut vivre avec :-)

Pour ceux qui se demandent de quoi on parle, une KSK, key signing key, ça sert juste à signer des ZSK, zone signing keys, qui signent la zone. Une ou plusieurs KSK sont publiées par le registry (qui gère le TLD, l'AFNIC pour .fr par exemple) et c'est le registrar (Gandi, non non, il n'y a pas d'autres choix ;-D), qui l'envoie pour vous au registry.

Le 10 mai 2018 à 16:00, Valentin Samir <valentin.samir@crans.org> a écrit :
Depuis bind 9.7 bind signe la zone tout seul et depuis 9.9 (cette version est dans jessie) le processus est complètement transparent vis a vis du fichier de zone. Tu modifie le fichier de zone comme si la zone n'etait pas signée et bind s'occupe tout seul de publier ou retirer les clefs et de signer ou re-signer la zone quand il y en à besoin. Il faut juste effectivement générer les clefs a intervalle regulier (ou en avance) pour assurer la rotation des ksk ou des zsk.

https://github.com/nitmir/bind-dnssec s'occupe de generer les clefs automatiquement par exemple.

le lien que tu donnes pour bind est complètement outdated, sauf si tu veux garder les clefs hors ligne, auquel cas, bind ne peut pas signer la zone tout seul vu qu'il n'a pas accès aux clefs.

C'est dommage que ton lien sur knot ne parle pas de la rotation des ksk, c'est la seule opération apres la configuration initiale encore non automatisable dans la gestion de dnssec...


Le 10 mai 2018 15:14:37 GMT+02:00, Gabriel Detraz <detraz@crans.org> a écrit :
Ploc à tous,

Pour gérer dnssec avec re2o, on a fait des tests avec 5-1, globalement re2o marche avec knot ou bind pour gérer des zones dns.

En ce qui concerne DNSEC, il apparait que utiliser knot est beaucoup plus simple, je vous explique pourquoi. Evidemment peut-être que des éléments plus subtils m’ont échappé.

Avec bind, il faut générer les clefs avec une commande pour chaque zone, puis ensuite lancer une commande sur le fichier de zone à chaque fois qu’on le modifie pour le signer, cf https://www.skyminds.net/serveur-dedie-mettre-en-place-dnssec-pour-securiser-les-dns-du-domaine/ . Du coup il est nécessaire d’avoir un bout de re2o-tools qui s’occupe de lancer la commande à chaque fois qu’on regen la zone.


Avec knot, c’est beaucoup plus simple, cf https://www.swordarmor.fr/gestion-automatique-de-dnssec-avec-knot.html . Il suffit d’ajouter dnssec-signing: on et dnssec-policy: default dans la zone, knot s’occupe alors de générer la clef. Il reste juste à récup la DNSKEY et la publier chez gandi/ovh/whatever.


A mon avis, knot simplifie grandement le process et ne nécessite pas d’avoir un script re2o (ou autres) pour resigner la zone à chaque fois. Qu’en pensez-vous ?


Chirac

  

--
Valentin Samir

_______________________________________________
Re2o mailing list
Re2o@federez.net
https://lists.federez.net/listinfo/re2o