Wozu braucht man ein CDS Record?

Christian Rohlof
2021-02-09 12:07

Die 3 Verwendungszwecke von CDS

Im Allgemeinen gibt es drei Möglichkeiten, wie eine Domain die Parent anweisen möchte:

1. Aktivieren der DNSSEC-Validierung, d. h. Platzieren eines ersten DS Resource Record Set (RRset) im Parent.

2. Rollover des KSK. Dies bedeutet, dass die DS-Datensätze im Parent, um den neuen Satz von KSKs im Child widerzuspiegeln. Dies kann eine ADD-Operation, eine DELETE-Operation für einen oder mehrere Datensätze sein wobei mindestens ein DS RR beibehalten wird, oder ein vollständiger REPLACE-Vorgang.

3. Schalten Sie die DNSSEC-Validierung aus, d. h. löschen Sie alle DS-Records. KSK-Rollover wird in RFC7344 behandelt. Es wird als der
sicherste Anwendungsfall eines CDS/CDNSKEY-Eintrags, da er keine Änderung der Beziehung zwischen Parent und Child ändert. Einführung und Entfernung von DS-Records sind in diesem Dokument definiert.

2.1. Die Bedeutung des CDS RRsets

Die semantische Bedeutung der Veröffentlichung eines CDS RRsets wird wie folgt interpretiert:
Das Veröffentlichen eines CDS- oder CDNSKEY-Records signalisiert dem Parent, dass das Child wünscht, dass die entsprechenden
DS-Records synchronisiert werden. Jeder Parent oder Parent-Agent sollte eine Akzeptanz-Policy für dieser Datensätze für die drei verschiedenen Anwendungsfälle haben: Initial DS publication, Key-rollover, und Returning to Insecure.
Kurz gesagt, das CDS RRset ist eine Anweisung an den Parent, das
DS RRset zu modifizieren, wenn der CDS und die DS-Resets unterschiedlich sind.

 

Cloudflare wird CDS- und CDNSKEY-Einträge für alle Domains veröffentlichen, die DNSSEC aktivieren.
Parent-Registries sollten die Nameserver der Domains in ihrem Zuständigkeitsbereich scannen und auf diese Datensätze prüfen. Das Bestehen eines CDS-Schlüssels für eine Domain, die an Cloudflare delegiert wurde, zeigt an, dass ein verifizierter Cloudflare-Benutzer DNSSEC in seinem Dash aktiviert hat und dass der übergeordnete Betreiber (ein Registrar oder die Registry selbst) den Inhalt des CDS-Datensatzes nehmen und den erforderlichen DS-Datensatz erstellen sollte, um mit der Signierung der Domain zu beginnen. Die TLDs .ch und .cz unterstützen diese automatisierte Methode bereits durch Cloudflare und alle anderen DNS-Betreiber, die sich für die Unterstützung von RFC8078 entscheiden.

Durchschnittliche Bewertung: 0 (0 Abstimmungen)

Kommentieren nicht möglich