Episode 3
¿Quién firma las claves?
Las claves de firma de clave (KSK) garantizan que el DNSKEY sea confiable.
Las KSK validan el registro DNSKEY igual que las claves de firma de zona (ZSK) aseguran los RRsets.
Esto es lo que tenemos hasta ahora:
Los registros se agrupan en RRsets y los firma la clave de firma de zona. La parte pública de esa clave se guarda en un registro DNSKEY.
Ese registro DNSKEY se firma ahora con una clave de firma de clave generando un RRSIG adicional.
La parte pública de la clave de firma de clave se almacena en otro registro DNSKEY.
Los 2 registros DNSKEY se agrupan en un RRset que firma la parte privada de la clave KSK.
Ahora, cuando el recusor DNS pide el DNSKEY, recibe un RRset de registros DNSKEY junto con un RRSIG.
El proceso ahora es…
El recusor pide al servidor autoritativo los registros A de www.dnsimple.com.
Registro A de www.dnsimple.com, por favor.
El servidor autoritativo devuelve el RRset con los registros A y un RRSIG que contiene la firma de la clave de firma de zona.
El recusor vuelve a consultar al servidor autoritativo por el DNSKEY para validar la firma en el RRSIG.
Por favor, dame la DNSKEY
El servidor autoritativo devuelve un RRset con los DNSKEY de las claves de firma de zona (ZSK) y de firma de clave (KSK) junto con un RRSIG.
El recusor ya tiene toda la información para validar la consulta DNS.
Verifica el RRSIG de los registros A en el RRset con el DNSKEY creado por la clave de firma de zona (ZSK).
Si es válido, verifica el RRSIG del RRset DNSKEY con el DNSKEY creado por la clave de firma de clave (KSK).
Cuando todo esto termina, el recusor está seguro de que puede confiar en los valores A devueltos por el servidor autoritativo.
Todo esto está muy bien, pero ahora afrontamos más problemas.
Sabemos que podemos confiar en los registros A de www.dnsimple.com, pero ¿debemos confiar en los otros nodos?
La clave de firma de clave se firma a sí misma. ¿Qué pasa si la firma fuese falseada?
