Posts tagged DNSSEC
| We need Your Support. Make a Donation now! or |  |
Posts tagged DNSSEC
0 notes &
Este año fui seleccionado para ser uno de los TCR de ICANN, los Representantes de Confianza de la Comunidad, para participar de la ceremonia de la firma de la raíz del DNS. Mi rol en particular es ser Criptographic Officer, responsable de custodiar 1 de las 7 llaves que permiten acceder a la KSK.
En un artículo anterior escribí más detalles introductorios de qué es esta ceremonia, por qué se firma la raíz del DNS, cuál es mi labor, etc.
Durante la ceremonia número 51, realizada a fines de noviembre de 2023 en las instalaciones de la coste Este de Estados Unidos, se realizó la firma de las ZSK del primer semestre de 2024, que es la actividad habitual y normal. Además se aprovechó de agregar dos nuevos dispositivos HSM, para aprovechar de renovar los más antiguos que cumplieron el ciclo de vida del fabricante.
0 notes &
Este año fui seleccionado para ser uno de los TCR de ICANN, los Representantes de Confianza de la Comunidad, para participar de la ceremonia de la firma de la raíz del DNS. Mi rol en particular es ser Criptographic Officer, responsable de custodiar 1 de las 7 llaves que permiten acceder a la KSK.
En este artículo quiero explicar de qué se trata esta labor, orientado a gente sin conocimientos técnicos profundos en DNS/DNSSEC.
0 notes &
When deciding to sign a zone with DNSSEC, one of the initial decisions is which “deny” system to use. There are currently two, the original and simpler called “NSEC”, and a later one that is much more complex, called “NSEC3”. (Why is there no “NSEC2”? For the same reason that there is no IPv5).
The recommendation has always been to use NSEC3 only in special cases, generally oriented to registries (TLD) that require for legal or privacy reasons to keep the list of subdomains secret. NSEC3 is also attractive for this type of records because it allows you to partially sign your zone, using the opt-out technique, which allows you to gradually grow in zone and record size, as subdomains activate DNSSEC, sacrificing a little security.
But hey, each administrator has the reasons and decides which technique he will use.
0 notes &
En el momento de decidir firmar una zona con DNSSEC, una de las decisiones iniciales es qué sistema de “negación” se utilizará. Existen dos actualmente, la original y más simple llamada “NSEC”, y una posterior que es mucho más compleja, llamada “NSEC3”. (¿Por qué no hay “NSEC2″? Por la misma razón que no hay IPv5).
La recomendación siempre ha sido utilizar NSEC3 solo en casos especiales, generalmente orientado a registros (TLD) que requieren por razones legales o de privacidad mantener la lista de subdominios en forma secreta. También NSEC3 es atractivo para este tipo de registros porque permite hacer firma parcial de su zona, utilizando la técnica opt-out, que permite ir creciendo en tamaño de zona y de registros en forma gradual, a medida que los subdominios van activando DNSSEC, sacrificando un poco de seguridad.
0 notes &
Quería contarles de un caso muy interesante de problemas de resolución de un nombre de host, que llevó a identificar un error en una implementación DNSSEC que es bastante difícil de detectar. Creo que vale la pena explicar cómo se llega y el detalle de análisis y comandos empleados.
Se cambiaron los nombres de la zona real y las direcciones IP para proteger a los inocentes.