DNSSEC 256 und 257 Flag

  • Hallo,


    welcher Flag sollte für DNSSEC am besten genutzt werden? Häufig verwendet werden 257, wäre 256 und 257 in KOmbination sinnvoll?

  • Du beschreibst den Kontext Deiner Frage nicht, insofern ist meine Antwort sehr allgemein:


    Der Zone Signing Key (Type 256 = ZSK) signiert die ganze Zone, also jeden einzelnen Eintrag in der Zone.

    Der Key-Signing-Key (Type 257 = KSK) hingegen signiert nur den DNSKEY-Eintrag des Zone-Signing-Keys und wird in der darüber liegenden Zone verankert.


    Beim Registrar hinterlegst du daher den KSK. Dieser signiert deinen ZSK. Wenn Du Dir das lieber "graphisch" veranschaulichen möchtest, hier kann man sich die Situation visualisieren lassen, z.B. anhand meiner Domain: http://dnsviz.net/d/hitco.at/dnssec/


    Ein ausführliches How-To mit Erläuterung zum Thema findest Du hier: https://hitco.at/blog/sicherer…ste-anbieter-dnssec-dane/


  • Ach so, danke für die Unterstützung. Ich habe mich gewundert, weshalb auch der ZSK (Type 256) bei der Vergabestelle hinterlegt werden kann. Den ZSK zu hinterlegen wäre also Quatsch, es reicht der KSK (Type 257)?

  • Es ist wie oben bereits skizziert best-practice einen KSK zu generieren, diesen über den Registrar in der übergeordneten Zone zu verankern und die Zone selbst mittels ZSK zu signieren. Man KANN das theoretisch auch anders machen (nur ZSK, kein KSK) - ich wüsste nur nicht, warum man sich das antun sollte, zumal das einen ZSK-KeyRollover erheblich verkompliziert.