Provozní manuál DNSSec pro registr.cz a 0.2.4.e164.arpa



Podobné dokumenty
Provozní manuál DNSSec pro registr.cz a e164.arpa

účetních informací státu při přenosu účetního záznamu,

-1- N á v r h ČÁST PRVNÍ OBECNÁ USTANOVENÍ. 1 Předmět úpravy

PROVOZNÍ ŘÁD. školní tělocvičny v Okříškách. Článek II. Rozsah a umístění. Článek III. Využití objektu

Věc: VEŘEJNÁ ZAKÁZKA MALÉHO ROZSAHU NA STAVEBNÍ PRÁCE PRO AKCI: dodavatele k předložení nejvhodnější nabídky na výše uvedenou zakázku.

ORGANIZAČNÍ ŘÁD Městský úřad Úvaly

MĚSTSKÁ ČÁST PRAHA 3 Rada městské části U S N E S E N Í

DNSSEC na vlastní doméně snadno a rychle

Stanovy TJ Plzeň-Bílá Hora, z.s.

uzavírají podle ustanovení 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník (dále jen občanský zákoník ), tuto

VÍCEÚČELOVÉHO SPORTOVNÍHO AREÁLU OBCE HŘEBEČ

S t r á n k a 1 I N V E S T I C E D O R O Z V O J E V Z D Ě L Á V Á N Í

ORGANIZAČNÍ ŘÁD ŠKOLY

Baby centrum M O T Ý L E K, s.r.o.

MĚSTO BENEŠOV. Rada města Benešov. Vnitřní předpis č. 16/2016. Směrnice k zadávání veřejných zakázek malého rozsahu. Čl. 1. Předmět úpravy a působnost

VNITŘNÍ PŘEDPIS HNUTÍ BRONTOSAURUS

Program rovného zacházení provozovatele distribuční soustavy Pražská plynárenská Distribuce, a.s., člen koncernu Pražská plynárenská, a.s.

Způsob hodnocení bezpečnostního programu prevence závažné havárie a bezpečnostní zprávy

Zajištění a kontrola kvality

PODPORA ČINNOSTI NESTÁTNÍCH NEZISKOVÝCH ORGANIZACÍ PŮSOBÍCÍCH NA ÚZEMÍ MČ PRAHA 7 V OBLASTI SPORTU PRO ROK 2015

Dopravně provozní řád Zpracovaný ve smyslu NV 168/2002 Sb.

INFORMAČNÍ SYSTÉM O AREÁLU

MĚSTO NOVÁ BYSTŘICE SMĚRNICE PRO ZADÁVÁNÍ A EVIDENCI VEŘEJNÝCH ZAKÁZEK MALÉHO ROZSAHU (VZMR)

P R A V I D L A RADY MĚSTA LOUN P13/2014. pro financování mimoškolských příspěvkových organizací

1. ÚVOD PODKLADY NÁVAZNOST NA DALŠÍ PROJEKTY A PROFESE ZÁKLADNÍ ÚDAJE STRUKTUROVANÁ KABELÁŽ-TELEFONNÍ ROZVODY...

Směrnice pro zadávání veřejných zakázek malého rozsahu města Poděbrady

Příloha č. 3 VÝKONOVÉ UKAZATELE

RÁMCOVÁ SMLOUVA. Výřez dřevin v úseku Stará Paka - Turnov

Program pro poskytování dotací z rozpočtu města Moravská Třebová Číslo předpisu: 6/2015 Výtisk č.: 01

Nájemní smlouva podle 2201 a násl. zákona č. 89/2012 Sb., občanského zákoníku, kterou uzavřely níže uvedeného dne, měsíce a roku smluvní strany

Kolejní řád. K o l e j n í ř á d. 1 Základní ustanovení

VERZE: 01 DATUM: 05/2014

Oddělení předarchivní péče, fondů státní správy po roce 1992 a elektronických dokumentů Národního archivu. Informace, návody. Materiál k diskusi

Obecně závazná vyhláška obcí Plaňany, Poboří, Hradenín a Blinka. č. 4/2003 ze dne

SBÍRKA ROZHODNUTÍ A OPATŘENÍ JIHOČESKÉ UNIVERZITY V ČESKÝCH BUDĚJOVICÍCH

OBCHODNÍ PODMÍNKY O NÁKUPU CNG PROSTŘEDNICTVÍM KARET CNGvitall

Řešení počítačové sítě na Cyrilometodějském gymnáziu v Prostějově

Provozní řád víceúčelové a školní tělocvičny v Jilemnici

Směrnice k rozpočtovému hospodaření

Česká školní inspekce Liberecký inspektorát INSPEKČNÍ ZPRÁVA. Čj. ČŠIL-828/12-L

Věc: Výzva pro předložení nabídek k veřejné zakázce s názvem: VÚ a ŠJ PŠOV, Nákup nového osmimístného vozidla

Vnitřní řád školní družiny

Nařízení města Česká Lípa č. 4/2013, kterým se vydává tržní řád

Spisový a skartační řád. č. 13/2006/SŘ

INTERNETOVÝ TRH S POHLEDÁVKAMI. Uživatelská příručka

Výzva pro předložení nabídek k veřejné zakázce malého rozsahu s názvem Výměna lina

Napájení požárně bezpečnostních zařízení a vypínání elektrické energie při požárech a mimořádných událostech. Ing. Karel Zajíček

PALETOVÉ REGÁLY SUPERBUILD NÁVOD NA MONTÁŽ

Nařízení vlády č. 589/2006 Sb., kterým se stanoví odchylná úprava pracovní doby a doby odpočinku zaměstnanců v dopravě

STATUT A ÚPLNÉ ZNĚNÍ PRAVIDEL SOUTĚŽE

Základní škola, Jablonec nad Nisou, Liberecká 1734/31, příspěvková organizace

Metodika kontroly naplněnosti pracovních míst


ORGANIZAČNÍ ŘÁD ŠKOLNÍ VÝLETY

Střední průmyslová škola Brno, Purkyňova, příspěvková organizace Provozní řád školy

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

Krajský úřad Olomouckého kraje

Název zakázky: E. Beneše 1747 výměna 5 ks stoupacího potrubí vody a splaškové kanalizace - II. etapa

Certifikač ní politika C EZ, a. s. pro interní subjekty

SMLOUVA O POSKYTOVÁNÍ SOCIÁLNÍ SLUŽBY č.../2013

Č. j.: R136/2006/ /2007/300-Hr V Brně dne 19. února 2007

1. Základní ustanovení

Všeobecné podmínky provozu sběrných míst kolektivního systému Eltma

SEBEHODNOCENÍ. II. Hygiena a bezpečnost pokrmů. POŽADAVEK PLNĚNÍ Poznámka

1. Orgány ZO jsou voleny z členů ZO. 2. Do orgánů ZO mohou být voleni jen členové ZO starší 18 let.

P O K Y N. ředitele odboru interního auditu a kontroly

Směrnice pro oběh účetních dokladů Obce Batňovice

Čtvrtletní výkaz o zaměstnancích a mzdových prostředcích v regionálním školství a škol v přímé působnosti MŠMT za 1. -.

Zajištění provozní funkčnosti platebních automatů a měničů bankovek pro Fakultní nemocnici Královské Vinohrady. Zadavatel

Domovní řád města Děčín

Umělá koupaliště

Směrnice pro poskytování odměn funkcionářům SBD a pravidla odměňování pracovních funkcí na samosprávách a společenství vlastníků

Používání služebních mobilních telefonů a prostředků pro přenos dat

Směrnice DSO Horní Dunajovice a Želetice - tlaková kanalizace a intenzifikace ČOV. Dlouhodobý majetek. Typ vnitřní normy: Identifikační znak: Název:

KVALIFIKA NÍ DOKUMENTACE

POZVÁNKA NA MIMOŘÁDNOU VALNOU HROMADU

Geometrické plány (1)

VI. Finanční gramotnost šablony klíčových aktivit

Základní škola a základní umělecká škola

Město Černošice. Příručka kvality

Odůvodnění veřejné zakázky dle 156 zákona. Odůvodnění účelnosti veřejné zakázky dle 156 odst. 1 písm. a) zákona; 2 Vyhlášky 232/2012 Sb.

3 Požadavky na odorizaci. (2) U výroben biometanu připojených k distribuční

Server. Software serveru. Služby serveru

Adresa školy: Základní škola Mladá Boleslav, Václavkova 1082

DOMOVNÍ ŘÁD BYTOVÉHO DRUŽSTVA ZÁZVORKOVA 2007, 2008, 2009

Obecně závazná vyhláška města Žlutice č. 2/2011 Požární řád obce

Zelená Lípa Hostivice, poskytovatel sociálních služeb Pelzova 1701, Hostivice. VNITŘNÍ ŘÁD. Čl. 1

Stanovy spolku Tělovýchovná jednota Hostivice, z.s.

Malá Skála Kanalizace a vodovod Vranové

Provozní řád Portál provozovatele dráhy

ZÁKLADNÍ POVINNOSTI DOPRAVCE I PRÁCI S DATY Z DIGITÁLNÍHO TACHOGRAFU

Zadávací dokumentace. Programátorské práce na rozšíření systému pro digitalizaci knihovních dokumentů. ve zjednodušeném podlimitním řízení

VÝZVA K PODÁNÍ NABÍDKY na plnění veřejné zakázky malého rozsahu dle 12 odst. 3 zákona č. 137/2006 Sb., o veřejných zakázkách, s názvem

Abeceda elektronického podpisu

Výpočet dotace na jednotlivé druhy sociálních služeb

VÝZVA K PODÁNÍ NABÍDKY A PROKÁZÁNÍ SPLN NÍ KVALIFIKACE ZADÁVACÍ DOKUMENTACE ZADÁVACÍ DOKUMENTACE

Článek 1. Základní ustanovení

338/2002 Sb. NAŘÍZENÍ VLÁDY

OBEC HORNÍ MĚSTO Spisový řád

Generátor sítového provozu

Transkript:

Provozní manuál DNSSec pro registr.cz a 0.2.4.e164.arpa verze 2.0., platná od 1.3.2011 Úvod Tento materiál určuje provozní pravidla, kterými se řídí sdružení CZ.NIC při správě DNSSEC klíčů, konkrétně postupy pro jejich generování, rotaci, fyzické zabezpečení a zveřejňování. Stanovuje pravidla pro podepisování zónového souboru a určuje osoby, odpovědné za jednotlivé úkony. Tento materiál je veřejný. Komunikace Údaje o klíčích jednotlivých domén jsou ukládány do registru prostřednictvím registrátorů. Komunikace s registrátory se řídí příslušnými dokumenty, zejména Obchodními podmínkami pro registrátory, Pravidly registrace doménových jmen a Pravidly technické komunikace. Všechny tyto dokumenty jsou k dispozici na stránkách sdružení CZ.NIC. Požadavky registrátorů jsou do registru zasílány standardním EPP protokolem (dle RFC 3730-3734) s rozšířeními a změnami vynucenými specifickými vlastnostmi registru. Komunikace probíhá TCP spojením zabezpečeným pomocí SSL. O provedených operacích (CREATE, UPDATE, TRANSFER a DELETE) nad příslušnými datovými strukturami (KEYSET, DOMAIN) jsou prostřednictvím e-mailu informovány kontaktní osoby ze seznamu kontaktních osob, které mají nastaven notify email a to i ty, které byly v operaci UPDATE odstraněny. Správa DNSSEC klíčů Generování klíčů Key Signing Key Pro správu KSK je vyhrazen speciální modul HSM s podporou PKCS#11. Modul HSM a obslužný server je používán pouze pro potřeby vygenerování nových KSK a ZSK klíčů a podepsání tzv. zone apexu, který obsahuje všechny klíče příslušné zóně podepsané pomocí KSK. V aktuální verzi systému není modul HSM použit (není kompatibilní se současnou verzí BIND). Pro správu klíčů se dočasně používají vyhrazená disková úložiště. 1/5

Algoritmus klíče: RSASHA512 2048 bitů Počet klíčů: 1 Úložiště klíčů: disk dedikovaného serveru (v budoucnu HSM) Zone Signing Key Po vygenerování ZSK a podepsání zone apexu jsou ZSK a zone apex přeneseny na server, který je určen k podepisování zóny. Samotný proces podepisování zóny probíhá automaticky. Algoritmus klíče: RSASHA512 1024 bitů Počet klíčů: 2 (aktivní 1) Úložiště klíčů: disk dedikovaného serveru Dedikované servery Fyzické umístění serverů Dedikované servery, na kterých jsou uloženy klíče, jsou z důvodů redundance dva a jsou umístěny ve dvou telehousech, provozovaných dvěma různými společnostmi. Servery jsou umístěny v zamčených stojanových rozvaděčích (rack) a v případě jednoho z telehousů navíc ve vlastním prostoru odděleném klecí. Fyzický přístup k serverům mají techničtí správci a na vyžádání i zaměstnanci obou telehousů. Přístupy do obou telehousů jsou realizovány přes vrátnici s fyzickým vrátným, který kontroluje oprávnění k přístupu. Dále je jeden z telehousů chráněn interním kamerovým systémem, druhý je potom napojen na vnitřní kamerový systém provozovatele. Přístup na servery Dedikované servery jsou připojeny do sítě internet v oddělené síti (VLAN) a jsou přístupné pomocí protokolů: SSH a DNS. Servery mají také propojení na aplikační server centrálního registru. Přístup pomocí protokolu SSH mají techničtí správci přes přidělené účty. Přístup na účet administrátora je realizován pomocí mechanismu SUDO. Zálohování serverů Servery jsou zálohovány standardními mechanismy na zálohovací server. Přístup na zálohovací server podléhá stejným podmínkám jako přístup na dedikované servery pro správu DNSSEC klíčů. 2/5

Rotace klíčů Key Signing Key Pro rotaci klíčů KSK se používá mechanismus dvojitého podpisu. Výměna klíče KSK bude zveřejněna v předstihu půl roku (viz. oddíl zveřejňování klíčů). Platnost klíče: Metoda rotace: 2 roky ručně Rotace v případě kompromitace klíče Pokud CZ.NIC ztratí kontrolu nad privátními částmi klíčů, je zapotřebí vygenerovat nové DNSSEC klíče a nahradit jimi stávající klíče. Rotaci klíčů v případě kompromitace je zapotřebí provést stejnými postupy jako běžnou rotaci, tedy tak, aby nedošlo k výpadku chodu zóny.cz V případě kompromitace KSK budou vygenerovány nové KSK klíče a nahrazeny DS záznamy v kořenové zóně. Zone Signing Key Platnost aktivního ZSK klíče je stanovena na 8 týdnů. Rotace klíčů ZSK tedy probíhá každé dva měsíce pomocí mechanismu zveřejnění klíče předem (RFC 4641, 4.2.1.1). V zóně je standardně publikován jeden ZSK klíč se který se kterým se podepisuje. 7 dní před uplynutím dvouměsíčního období je předem publikovaný nový klíč. Tímto novým klíčem se začne podepisovat se započetím dalšího dvouměsíčního období. Po uplynutí potřebné doby (viz. RFC 4641) je starý klíč se zóny odstraněn. Platnost klíče: Metoda rotace: 56dní automaticky (ZKT) Rotace v případě kompromitace klíče V případě kompromitace ZSK bude vygenerována nová sada ZSK, podepsány apex zóny a nahrazena sada ZSK. V případě kompromitace jen jednoho ze ZSK je potřeba jeho vyřazení ze zónového souboru. Zveřejňování klíčů DS záznamy pro.cz jsou publikovány v kořenové zóně spravované ICANN/IANA, DS záznamy pro 0.2.4.e164.arpa jsou umístěny v zóně e164.arpa spravované RIPE NC Podepisování zónového souboru Pro každou zónu spravovanou centrálním registrem je udržována vlastní sada klíčů. Klíče jsou rozděleny na klíč podepisující klíče KSK (Key Signing Key) a zónu podepisující klíče ZSK (Zone Signing Key). 3/5

Proces podepisování zónového souboru Generování podpisů RRSIG probíhá na dedikovaném serveru, který zároveň generuje zónový soubor. Zónový soubor.cz je generován každých 30 minut a po každé generaci jsou podepsány nové a změněné záznamy. Po vygenerování zónového souboru jsou ze starého podepsaného zónového souboru extrahovány záznamy RRSIG a tyto jsou sloučeny s nově vygenerovaným zónovým souborem. Pro podepsání sloučeného zónového souboru je používán nástroj dnssec-signzone z balíku Bind 9, který umí použít stále platné podpisy. Změny v podpisech jsou tímto způsobem omezeny na nutné minimum. Doba platnosti podpisů RRSIG Platnost podpisů RRSIG je stanovena na 14 dni. Nový podpis je vygenerován 1 týden před skončením platnosti stávajícího podpisu. Stanovení odpovědných osob Následující tabulka určuje pravomoci jednotlivých osob ve vztahu ke konkrétním kritickým činnostem, souvisejících (zejména) s generováním klíčů. Akce Provádí vygenerování nového KSK vždy dva z: podepsání ZSK pomocí KSK pověřený člen DNSSEC týmu rotace KSK jeden z: rotace ZSK automatický nástroj záloha KSK klíčů na externí médium jeden z: Přístup do trezoru ředitel, provozní ředitel Slovníček pojmů Key Signing Key (KSK) DNSSEC klíč používaný pouze k podpisu dalších klíčů (DNSKEY RRSet) v konkrétní zóně. Zone Signing Key (ZSK) DNSSEC klíč používaný k podpisu celého zónového souboru. 4/5

Kompromitace klíče DNSSEC klíče používají asymetrickou kryptografii. Ke kompromitaci klíče dochází ve chvíli, kdy se soukromá část klíče používaná pro podpis dostane k osobám, které nejsou oprávněny k manipulaci s tímto klíčem, nebo k podepisování zóny. Může se jednat o interní bezpečnostní incident vyvolaný zaměstnancem sdružení nebo externí bezpečnostní incident, tedy prolomení zabezpečení soukromé částí klíče, nebo prolomení kryptografických algoritmů klíče. Rotace klíče Z hlediska bezpečnosti asymetrické kryptografie je zapotřebí DNSSEC klíče používané pro podpis zóny pravidelně měnit, aby nemohlo dojít ke kompromitaci klíče. Rotace klíče je proces, kdy se mění DNSSEC klíč (KSK nebo ZSK) za nový. Tento proces je potřeba provádět tak, aby technicky nemohlo dojít k výpadku validace podepsané zóny. 5/5

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář