Документи щодо доменів

Документи щодо домену .UA
Документи щодо публічних доменів другого рівня
Регламент реєстрації IDN
Регламент розширення DNSSEC

Політика та практика застосування DNSSEC

1. ВСТУП

1.1 Сфера застосування документа та його оновлення

Цей документ описує практики ТОВ "Хостмайстер" щодо управлiння криптографiчним ключами для захисту доменiв верхнього рiвня .ua за допомогою розширень системи доменних iмен (DNSSEC). Зокрема, вiн охоплює управлiння ключами пiдпису ключiв (KSK) та ключами пiдпису зони (ZSK) для домену .UA

ТОВ "Хостмайстер" залишає за собою право змiнювати цей документ та практику, наприклад, у випадку оновлення технiчних рекомендацiй щодо розмiрiв ключiв, алгоритмiв хешування чи iнших параметрiв реалiзацiї. Новi версiї цього документа набирають чинностi з дати їх публiкацiї на веб-сайтi www.hostmaster.ua.

1.2 Словник термінів
  • DNSSEC: розширення безпеки системи доменних iмен. DNSSEC додає автентифiкацiю джерела даних i цiлiснiсть даних до системи DNS.
  • DS-запис: запис у системi DNS, який використовується для однозначної iдентифiкацiї конкретного ключа. DS-запис мiстить тег ключа, номер алгоритму та хеш (дайджест) ключа.
  • KSK - Ключ пiдпису ключiв: криптографiчний ключ, що використовується для пiдпису одного або бiльше ключiв пiдпису зони.
  • Key Rollover - Оновлення ключа: замiна iснуючого KSK або ZSK новим криптографiчним ключем.
  • ZSK - Ключ пiдпису зони: криптографiчний ключ, що використовується для пiдпису DNS-зони, наприклад .ua.
1.3 Посилання
RFC 4033 Вступ до безпеки DNS та вимоги. 2005 RFC 4034 Ресурснi записи для DNSSEC. 2005 RFC 4035 Змiни до протоколу для DNSSEC. 2005 RFC 6781 Практичнi засади роботи з DNSSEC. 2012

2. ГЕНЕРАЦІЯ ТА ЗБЕРІГАННЯ КЛЮЧІВ

Для всіх ключів для реалiзацiї DNSSEC застосовуються такi положення:

  • Усі пари ключiв створюються на основi алгоритму ECDSA та його застосування в DNSSEC (RFC 6605).
  • Функцiї ключiв пiдпису ключiв (KSK) та пiдпису зони (ZSK) роздiлено мiж окремими ключами. Розмiр KSK i ZSK становить 256 бiт.
  • Для хешування використовується стандарт SHA-256.
2.1 Ключi пiдпису ключiв (KSK)
KSK зберiгаються принаймнi на двох рiзних типах носiїв.
2.2 Ключi пiдпису зони (ZSK)
Поточний ZSK, що використовується для пiдпису доменної зони .UA, зберiгається на прихованому DNS-серверi. Ключ зашифровано i доступ до нього мають лише системнi адмiнiстратори з числа працiвникiв Hostmaster, якi обслуговують цей сервер.

3. ВИКОРИСТАННЯ КЛЮЧІВ

3.1 Ключi пiдпису ключiв (KSK)

Ключi пiдпису ключiв для домену .UA мають строк дiї 3 роки.

Период дiї записiв RRSIG, пiдписаних цими ключами, прив’язаний до часу закiнчення дiї SOA-запису.

3.2 Ключi пiдпису зони (ZSK)
Ключi пiдпису зони для .ua дiють протягом 61 дня i оновлюються кожнi два мiсяцi. Записи RRSIG, пiдписанi цими ключами, дiють не бiльше 35 дні i оновлюються кожні три тижні.
3.3 Аварiйна замiна ключiв

Аварiйна замiна ключiв пiдпису ключiв або зони може знадобитися (але не обмежується цим) у таких випадках:

  • Компрометацiя ключової пари, тобто її отримання стороннiми особами внаслiдок крадiжки, перебору або iнших атак.
  • Втрата доступу до приватного ключа, наприклад, унаслiдок збою обладнання, людської помилки або iнших подiй.
  • Виявлення уразливостей у використаних алгоритмах шифрування або хешування, якi потребують негайної замiни.

Якщо визначена потреба в аварiйнiй замiнi, Hostmaster припиняє використання вiдповiдних ключiв якнайшвидше та застосовує найбiльш придатний механiзм замiни для конкретної ситуацiї. Компанiя вживає всi можливi заходи для збереження ланцюга довiри та мiнiмiзацiї перiоду вразливостi.