Võtmed ja nende parameetrid

EIS kasutab kahe võtmepaariga DNS kirjete allkirjastamise süsteemi.

  • KSK (Key signing key) algoritm: RSA 2048
  • ZSK (Zone signing key) algoritm: RSA 1024

Puuduvate domeenikirjete tähistamiseks on kasutusel NSEC3. Allkirjad genereeritakse kasutades algoritmi SHA256. Allkirjade kehtivusaeg on juhuslik, vahemikus 14 kuni 28 päeva.

DNSSECi kirjete kehtivusajad (TTL):

DNSKEY3600 sekundit
DS3600 sekundit
NSEC33600 sekundit
RRSIG14-28 päeva  

Võtmete vahetus

Kõik DNSSECi võtmed luuakse ja hoitakse HSMides (Hardware Security Module). Võtmeid luuakse üks kord aastas.

ZSK võtmeid vahetab EIS kord kvartalis.

KSK võtmeid vahetatakse vastavalt vajadusele.

DNSKEY ja DS

Eesti Interneti SA avalikud võtmed ja vastav DS kirje juur tsoonis.

ZSK: DNSKEY 256 3 8

(AwEAAcbE1nCNl1OytbTranWZB9laFePM3w/nnocXmozaA3OlEXKlI/vRExrhwWUWoZPORgq7PGUk+BIGnplqkMIZUpMogkxrtXSxH8UFMmRzn+7HTXxEq518b1fVAfY3UDzvP+gKTyte63Te1VznnjVAXNuQJ5dRcdXFRNucyOGq7zDSVYjBUy5nXazeHjlyo63f18N3rh4nesIj57/7T5tVDgNhWUjPg0TM6BpQgzJOSASG5CiuqBNW0k7Zlyk8WyOunvRnrvhiaaL8YdNxDKyyaxnKB/kyTiXgNzkyLZ373ktcEsuZ05cYY8hbnTIyQQdCGBniXaIO7UPys3WLTaomo08=) ; ZSK; alg = RSASHA256; key id = 8076

KSK: DNSKEY 257 3 8

(AwEAAdW9k6NT/VeswfTCamM53qpD/7rG7dGV1kQBMoy5XEzzY/1hg2BC+sYKCFkAjCsLglkOJ5yihSySIvTLLuc5KGcV9KfSUEGoQB3eThw3PtxstLKRiZIcJ7a43SY0bK/HlxveEfrDHTubp7oOgp4I0BskDGrERK5M3L7QMlDvmVqqXsFBOF72AcHXO7+Hq8sbSC99wiAvioChFg7FpjJfY5QSJenGQatik2HtGG/AfcTxstfQnUok8BzQ3TSs0U2ySIa2j3GzwNN5t7NghiOq9Bod6H2KddwkmEybY20Q0QW9pPbdgszT0tg594XTkwspeEhWIYNn2X34EldF8U+LjT0=) ; KSK; alg = RSASHA256; key id = 34382

DS: DS  

34382 8 2 000A3D89DC6CD4BA00EA8AFFEE3967D3A26DE7A545FBEFE16BA07518 FC8D54F6

Avaldatud: 31.01.2014

EPP

EIS võtab registreerijatelt vastu vaid DNSKEY (<secDNS:keyData>) andmeid, EISi registrisüsteem genereerib tsooni faili jaoks kasutatava DS võtme ise kasutades tüüp 2 ehk SHA-256 algoritmi.