DNSSEC EISis
Võtmed ja nende parameetrid
EIS kasutab kahe võtmepaariga DNS kirjete allkirjastamise süsteemi.
- KSK (Key signing key) algoritm: RSA 2048
- ZSK (Zone signing key) algoritm: RSA 1024
Puuduvate domeenikirjete tähistamiseks on kasutusel NSEC3. Allkirjad genereeritakse kasutades algoritmi SHA256. Allkirjade kehtivusaeg on juhuslik, vahemikus 14 kuni 28 päeva.
DNSSECi kirjete kehtivusajad (TTL):
| DNSKEY | 3600 sekundit |
| DS | 3600 sekundit |
| NSEC3 | 3600 sekundit |
| RRSIG | 14-28 päeva |
Võtmete vahetus
Kõik DNSSECi võtmed luuakse ja hoitakse HSMides (Hardware Security Module). Võtmeid luuakse üks kord aastas.
ZSK võtmeid vahetab EIS kord kvartalis.
KSK võtmeid vahetatakse vastavalt vajadusele.
DNSKEY ja DS
Eesti Interneti SA avalikud võtmed ja vastav DS kirje juur tsoonis.
ZSK: DNSKEY 256 3 8
(AwEAAcbE1nCNl1OytbTranWZB9laFePM3w/nnocXmozaA3OlEXKlI/vRExrhwWUWoZPORgq7PGUk+BIGnplqkMIZUpMogkxrtXSxH8UFMmRzn+7HTXxEq518b1fVAfY3UDzvP+gKTyte63Te1VznnjVAXNuQJ5dRcdXFRNucyOGq7zDSVYjBUy5nXazeHjlyo63f18N3rh4nesIj57/7T5tVDgNhWUjPg0TM6BpQgzJOSASG5CiuqBNW0k7Zlyk8WyOunvRnrvhiaaL8YdNxDKyyaxnKB/kyTiXgNzkyLZ373ktcEsuZ05cYY8hbnTIyQQdCGBniXaIO7UPys3WLTaomo08=) ; ZSK; alg = RSASHA256; key id = 8076
KSK: DNSKEY 257 3 8
(AwEAAdW9k6NT/VeswfTCamM53qpD/7rG7dGV1kQBMoy5XEzzY/1hg2BC+sYKCFkAjCsLglkOJ5yihSySIvTLLuc5KGcV9KfSUEGoQB3eThw3PtxstLKRiZIcJ7a43SY0bK/HlxveEfrDHTubp7oOgp4I0BskDGrERK5M3L7QMlDvmVqqXsFBOF72AcHXO7+Hq8sbSC99wiAvioChFg7FpjJfY5QSJenGQatik2HtGG/AfcTxstfQnUok8BzQ3TSs0U2ySIa2j3GzwNN5t7NghiOq9Bod6H2KddwkmEybY20Q0QW9pPbdgszT0tg594XTkwspeEhWIYNn2X34EldF8U+LjT0=) ; KSK; alg = RSASHA256; key id = 34382
DS: DS
34382 8 2 000A3D89DC6CD4BA00EA8AFFEE3967D3A26DE7A545FBEFE16BA07518 FC8D54F6
Avaldatud: 31.01.2014
EPP
EIS võtab registreerijatelt vastu vaid DNSKEY (<secDNS:keyData>) andmeid, EISi registrisüsteem genereerib tsooni faili jaoks kasutatava DS võtme ise kasutades tüüp 2 ehk SHA-256 algoritmi.