Säkerhet. Policy DNSSEC. Policy and Practice Statement. Dokumentnummer: Senast sparat: 8 december 2008

Relevanta dokument
Säkerhet. Beskrivning DNSSEC. Teknisk miljö på.se. Dokumentnummer: Senast sparat: 8 december 2008

Hot mot nyckelhantering i DNSSEC och lite om hur man undviker dem. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Signering av.se lösningar och rutiner. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Internetdagarna NIC-SE Network Information Centre Sweden AB

System för DNSSECadministration. Examensarbete Alexander Lindqvist Joakim Åhlund KTH

Det nya Internet DNSSEC

! " #$%&' ( #$!

DNSSEC implementation & test

Administration Beskrivningar WHOIS. Tjänstebeskrivning. Dokumentnummer: Senast sparat: 12 augusti 2009

Information om ny affärsmodell som införs 9 mars 2009

kirei Vägledning: DNSSEC för kommuner Rapport Regionförbundet i Kalmar län Kirei 2013:02 5 april 2013

DNSSec. Garanterar ett säkert internet

Vägledning för införande av DNSSEC

256bit Security AB Offentligt dokument

.SE REMISSER REGGIE NY AFFÄRSMODELL REGISTRY-REGISTRAR-MODELL MED LAST RESORT. Dokumentnummer: 2007-R1 Senast sparat: 9 februari 2007

Modul 3 Föreläsningsinnehåll

Varför och hur införa IPv6 och DNSSEC?

Rekommendationer för införande av DNSSEC i kommuner och motsvarande verksamheter DNSSEC DNS

Administration Beskrivningar WHOIS. Tjänstebeskrivning. Dokumentnummer: Senast sparat: 22 mars 2013

Whoisprotokollet. Tjänstebeskrivning

Termer och begrepp. Identifieringstjänst SITHS

.SE DIREKT VILLKOR FÖR DOMÄNNAMNSADMINISTRATION GÄLLANDE FROM 13 SEPTEMBER 2011

REGISTRERINGSVILLKOR

Policy Underskriftstjänst Svensk e-legitimation

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll

Termer och begrepp. Identifieringstjänst SITHS

Krypteringteknologier. Sidorna ( ) i boken

FAQ REGgie. Innehavare. Senast sparat: 20 maj 2008

Frågor och svar om.se:s byte av affärsmodell. För innehavare av domännamn. Senast sparat: 13 mars 2009

REGgie-projektet Rapport. REGgie. .SE:s beslut Dokumentnummer: Senast sparat: 2 april 2008

UTFÄRDARDEKLARATION (CPS) SJÖFARTSVERKET

DNSSEC Policy (DP) Denna DP gäller gemensamt för:

REGISTRY - REGISTRAR AVTAL. 1.1 Stiftelsen för Internetinfrastruktur, organisationsnummer , Box 7399, STOCKHOLM.

Kryptografi - När är det säkert? Föreläsningens innehåll. Kryptografi - Kryptoanalys. Kryptering - Huvudsyfte. Kryptografi - Viktiga roller

REGISTRERINGSVILLKOR

Rekommendationer för införande av DNSSEC i kommuner och motsvarande verksamheter DNSSEC DNS

REGgie-projektet Rapport. REGgie. .SE:s beslut. Dokumentnummer: Senast sparat: 26 juni 2007

NYTT PRODUKTIONSSYSTEM

.SE:s remiss Synpunkter på förslag till nytt Registry-Registraravtal

Innehållsförteckning Nyregistrering av domännamn Förnyelse av domännamn Uppdatering av kontaktuppgifter...

Introduktion till protokoll för nätverkssäkerhet

AVTAL REGISTRAR INNEHAVARE Tilläggsavtal till.se s REGISTRERINGSVILLKOR

Beställning av certifikat v 3.0

DNSSEC. Tester av routrar för hemmabruk. Joakim Åhlund & Patrik Wallström, Februari 2008

Frågor och svar avslutande av.se registrar (last resort)

ACE står för ascii compatible encoding en metod att använda icke-engelska tecken, som åäö i domännamn.

Dokumentet är publicerat under Creative Common-licens Sverige

OpenDNSSEC. Rickard Bondesson,.SE

Hälsoläget i.se. DNS och DNSSEC

INTERNETSTIFTELSENS WEBBWHOIS

Kryptering HEMLIG SKRIFT SUBSTITUTION STEGANOGRAFI KRYPTOGRAFI

Grundfrågor för kryptosystem

Ändringar i utfärdande av HCC Funktion

Information. REGgie. FAQ för Registrarer. Övergången. Version

Hos Telia kan du enkelt registrera de domännamn du önskar i någon eller alla de klassiska toppdomänerna SE, NU, COM, INFO, NET, ORG, EU, NAME.

AVTAL REGISTRAR INNEHAVARE Tilläggsavtal till.se:s registreringsvillkor

OpenDNSSEC. Rickard Bondesson,.SE

Protokollbeskrivning av OKI

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober Joakim Nyberg ITS Umeå universitet

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef Twitter: amelsec

Administration Beskrivning. Rutiner och information. Ny affärsmodell på.se. Dokumentnummer: 2007-R2 Senast sparat: 17 december 2007

WHOIS Tjänstebeskrivning

Beställning av certifikat v 2

Frobbit AB

Tjänstespecifikation

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se

Datum: Version: Författare: Christina Danielsson Senast ändrad:

REGISTRY - REGISTRARAVTAL

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Jakob Schlyter

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Tekniskt ramverk för Svensk e- legitimation

.SE Registry. Information. Ordlista. 18 mars, 2011

Med Telias domäntjänst Domännamn kan du enkelt administrera alla dina domännamn, oavsett storlek på domänportfölj.

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Säker e-kommunikation

Hur påverkar DNSsec vårt bredband?

DNSSEC-grunder. Rickard Bellgrim [ ]

Remissammanställning Frisläppningsförfarande för vissa spärrade och reserverade domännamn

Rutin vid kryptering av e post i Outlook

Rapport Kalmar Län 2013 Interlan Gefle AB Filialkontor

REGISTRERINGSVILLKOR gällande för toppdomänen.se fr.o.m. 25 MAJ 2018

.SE Registry Services Rutiner. Rutinbeskrivningar. Registreringstjänster.se. Document number: 2008-N Last saved: November 28, 2014

VGC RA Policy Västra Götalandsregionens Registration Authority Policy intern PKI

SSEK Säkra webbtjänster för affärskritisk kommunikation

Icke funktionella krav

Bilaga 3c Informationssäkerhet

SecureCom Card Preparation System

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

TJÄNSTEBESKRIVNING FÖR SAMBIS FEDERATIONSTJÄNST

Version

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

INTEGRITETSPOLICY Tikkurila Sverige AB

Version

Filleveranser till VINN och KRITA

REGISTERVILLKOR. UNDER TOPPDOMÄNEN.se gällande fr.o.m. 1 januari 2009.

Riksgäldskontorets författningssamling

Handledning i informationssäkerhet Version 2.0

Kryptering. Krypteringsmetoder

Transkript:

Dokumentnummer: 2007-5 Senast sparat: 8 december 2008 SE, Stiftelsen för Internetinfrastruktur 2007

Dokumentkontroll Dokumentinformation & säkerhet UPPFÖRD AV FAKTAANSVARIG DOKUMENTANSVARIG AMEL STAB AMEL SÄKERHETSKLASS ÖPPEN FILNAMN -DPS-B-SV.DOC Godkänd av DATUM NAMN FUNKTION 2007-02-07.SE:S LEDNINGSGRUPP STYRGRUPP Revisioner DATUM VERSION NAMN BESKRIVNING 2007-02-13 A.SE OFFICIELL VERSION A 2008-07-02 PB1 AMEL OMARBETAD VERSION 2008-08-06 PB2 AMEL KORRIGERAD VERSION 2008-08-29 PB3 AMEL ÄNDRAD LÄNK TILL PGP-NYCKEL 2008-12-08 B AMEL NY VERSION Dokumentnummer: 2007-5 Sida 2 av 15

Innehållsförteckning 1 Introduktion... 4 1.1 Detta dokument...4 1.2 Förkortningar och ordförklaringar...4 1.3 Referenser...5 1.4 Typsnitt...6 1.5 Om.SE...6 2.SE... 7 2.1 Dokumentets relevans...7 3.SE:s ansvarsområde... 8 3.1 Signering av se-zonen...8 3.2 Säker delegering av underliggande zoner i se-zonen...8 4 Nyckelhantering för.se-zonen... 9 4.1 Teknisk miljö för nyckelgenerering...9 4.2 Rutiner för generering av nycklar...9 4.3 Förvaring av nycklar... 10 4.4 Användning av nycklar... 10 4.5 Byte av nycklar... 11 4.6 Distribution av aktuella nyckelsigneringsnycklar (KSK)... 12 5 Zonsignering... 13 6 Underliggande zoners nycklar... 14 6.1.SE:s ansvarsområde... 14 6.2 Underliggande zoners ansvarsområde... 14 6.3 Röjda nycklar i underliggande zoner... 14 7 Verifiering av koppling mellan nyckel - Innehavare - domän15 Figurförteckning Figur 1: Giltighetstid för KSK...11 Figur 2: Giltighetstid för ZSK...12 Figur 3: Nyckelgenerering och zonsignering...13 Figur 4: Giltighetstid för signatur...13 Dokumentnummer: 2007-5 Sida 3 av 15

1 Introduktion 1.1 Detta dokument Dokumentet innehåller.se- för upprättande och hantering av nycklar att användas av.se i samband med och signering av.sezonen och underliggande domäner..se verifierar kopplingen mellan en domän, en publik nyckel och en fysisk eller juridisk person som är innehavare av domänen, samt den tekniska kontaktpersonen för domänen. Dokumentet beskriver rutinerna för hur verifieringen sker, vilka rutiner.se har och hur.se hanterar sina nycklar. Dokumentet syftar till att göra det möjligt för omvärlden att avgöra vilken tillit de vill ha till.se:s -hantering. 1.2 Förkortningar och ordförklaringar Algoritm DNS-tjänst.SE:s DNS-tjänst -tjänst DNSKEY DNS-operatör DS DPS Innehavare En uppsättning regler eller följd av instruktioner för att lösa ett problem i ett visst antal steg. Används t ex i processer som att kryptera, dekryptera eller skapa kondensat. Tjänst där information från Internets domännamnsträd tillhandahåller svar på DNS-frågor till Internetanvändare. Tjänsten att på uppdrag av.se:s domännamnsinnehavare tillhandahålla information från.se-zonen till Internetanvändare. DNS Security Extensions är en uppsättning poster och protokollmodifieringar som möjliggör identifiering av källan i DNS. DNS Security Extensions ger autentisering av källan och tjänster för förvanskningsskydd av DNS-data, inklusive mekanismer för att kunna lämna signerade negativa svar på frågor om förekomsten av DNS-data om viss domän. Publik -nyckel. Den som tillhandahåller en DNS-tjänst på uppdrag av en domännamnsinnehavare. Delegation Signer, ett kondensat (fingeravtryck) av domännamnsinnehavarens publika -nyckel (DNSKEY)., dokument som beskriver hur en administratör genererar, hanterar och administrerar -nycklar samt signerar DNS-data. Domännamnsinnehavare (eng. Registrant). Dokumentnummer: 2007-5 Sida 4 av 15

Internetanvändare KSK Registry.SE:s tjänst..se-.se-ombud Teknisk kontakt Zon ZSK Använder information som.se eller DNS-operatör för en domän publicerar via domännamnssystemet DNS. Betraktas i sammanhanget som förlitande part (såsom avses i lagen om kvalificerade elektroniska signaturer, SFS 2000:832). Nyckelsigneringsnyckel (Key signing key). Används för att signera ZSK. Den som ansvarar för administration av en toppdomän, här.se En tilläggstjänst till.se:s domännamnstjänst, där.se ger kunderna möjlighet att publicera sina DS-poster i.se-zonen. Syftet med tjänsten är att göra det möjligt för Internetanvändare att verifiera signaturer på DNS-data och därmed autentisera källan till DNS-data Namnet på.se:s -tjänst. En juridisk person som förmedlar tjänster mellan.se och Innehavare..SE-ombud godkänns av samt tecknar avtal med.se. (eng. Registrar). Den som för Innehavares räkning hanterar nycklarna för en domän. Ansvarsområde i DNS-hierarkin som har delegerats till någon Zonsigneringsnyckel (Zone signing key). Används för att signera zoner. 1.3 Referenser [1] RFC 4033 DNS Security Introduction and Requirements R. Arends, R. Austein, M. Larson, D. Massey, S. Rose [2] RFC 4034 Resource Records for the DNS Security Extensions R. Arends, R. Austein, M. Larson, D. Massey, S. Rose [3] RFC 4035 Protocol Modifications for the DNS Security Extensions R. Arends, R. Austein, M. Larson, D. Massey, S. Rose [4] NIST Special Publication 800-22 A Statistical Test Suite for Random and Pseudorandom Number Generators for Cryptographic Applications, (October 2000) [5] NIST Special Publication 800-57, Recommendation on Key Management (August 2005) [6] [FIP180] U.S. Department of Commerce, "Secure Hash Standard", FIPS PUB 180-1, 17 Apr 1995. [7] [SHA256] National Institute of Standards and Technology, "Secure Hash Algorithm. NIST FIPS 180-2", August 2002. Dokumentnummer: 2007-5 Sida 5 av 15

1.4 Typsnitt [8] [RFC3447] "Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1", RFC 3447, Jonsson, J. and B. Kaliski, February 2003. [9] [RFC4641] Operational Practices. O. Kolkman, R. Gieben. September 2006. [10] [RFC 5011] Automated Updates of DNS Security () Trust Anchors. M St Johns. September 2007. I detta dokument används följande typsnitt: 1.5 Om.SE Liten fetstil STORA BOKSTÄVER Används för biblioteksstruktur, filnamn samt in- och utmatningar. Datornamn skrivs alltid med stora bokstäver. Stiftelsen för Internetinfrastruktur (.SE) ansvarar för Internets svenska toppdomän,.se. Kärnverksamheten är registrering av domännamn samt administration och teknisk drift av det nationella domännamnsregistret under.se..se är en oberoende allmännyttig organisation som verkar för en positiv utveckling av Internet i Sverige. Genom.SE:s Internetfond avsätter stiftelsen varje år medel till projekt som på olika sätt bidrar till Internets utveckling och användning. Se mer på www.iis.se Dokumentnummer: 2007-5 Sida 6 av 15

2.SE Utgivare av detta dokument är Stiftelsen för Internetinfrastruktur (.SE), Org.nr 802405-0190..SE tillhandahåller, koordinerar och står för drift av det nationella registret för domännamn under.se på Internet. Dokumentet gäller kryptografiska signeringar och nyckelhantering med asymmetrisk kryptoteknik i DNS för zonen.se. Ett samlingsnamn för den teknik som används för detta är..se:s (DPS) beskriver rutiner och säkerhetskrav vid utfärdande, hantering och användning av kryptonycklar och signaturer vid.se:s signering av.se-zonen..se:s DPS ligger till grund för utformningen av särskilda avtalsvillkor för.se-. 2.1 Dokumentets relevans Dokumentet är relevant för.se, Innehavare av domännamn i zonen.se,.se-ombud som förmedlar domännamn inklusive -tjänsten till Innehavare, teknisk kontakt som administrerar teknisk drift av domännamn i zonen.se, DNS-operatör som tillhandahåller en DNS-tjänst för en domän samt Internetanvändare på Internet som använder data från zonen.se i kommunikation via Internet. Dokumentnummer: 2007-5 Sida 7 av 15

3.SE:s ansvarsområde 3.1 Signering av se-zonen.se administrerar domännamn som identifierar underliggande zoner i.se-zonen. Detta innebär att.se hanterar tillägg, ändring och borttagning av all data som är kopplat till ett domännamn. Se-zonen signeras av nycklar som genereras och hanteras av.se enligt beskrivningen nedan. Se-zonen signeras regelbundet och signeringen sker automatiskt i samband med generering av zonfil. 3.2 Säker delegering av underliggande zoner i se-zonen Ett fingeravtryck av den underliggande zonens KSK signeras löpande av.se med aktuell ZSK för.se-zonen. De hashalgoritmer som används för generering av fingeravtryck är i första hand SHA-1[6] och SHA-256[7]. Även andra algoritmer kan förekomma. Det signerade fingeravtrycket publiceras i.se-zonen som en DS-post (delegation signer). Den underliggande zonens nyckeldata skapas av Innehavaren till det domännamn som identifierar den underliggande zonen, eller av en part som av Innehavaren fått ansvaret att administrera zonens nyckeldata, teknisk kontakt..se signerar enbart fingeravtryck som härrör från domännamn i.se-zonen. Underliggande zoner till.se ansvarar själva för ytterligare delegeringar, poständringar eller signeringar som dessa gör i DNS-hierarkin. Internetanvändare kan med stöd av en i se-zonen publicerad och signerad DS-post etablera en förtroendekedja mellan se-zonen och underliggande zon och därmed få bekräftelse på att data om domänen är äkta och oförändrat. Dokumentnummer: 2007-5 Sida 8 av 15

4 Nyckelhantering för.se-zonen 4.1 Teknisk miljö för nyckelgenerering Alla nycklar genereras på en fristående maskin som inte är ansluten till något nät. Nycklarna genereras med användning av standard Open SSL (för nyckelsigneringsnyckel, KSK) eller ISC BIND dnssec-keygen programmet (för zonsigneringsnyckel, ZSK) tillsammans med slumpdata från en hårdvarubaserad slumptalsgenerator. Nyckelsigneringsnyckeln (KSK) överförs till PKCS#15-kompatibla smarta kort och raderas därefter från maskinen. Zonsigneringsnyckeln (ZSK) lagras på lokal hårddisk. Nyckelsignering med användning av smarta kort utförs med användning av programmet pkcs15-dnssec. För att hålla en förteckning över nycklar och deras status, som tid för publicering, starttid, sluttid och borttagning, har ett enkelt verktyg utvecklats och används av.se. Aktiva zonsigneringsnycklar signeras av alla aktuella nyckelsigneringsnycklar (KSK) och överförs tillsammans med den privata zonsigneringsnyckeln (ZSK) som behövs till signeringsmaskinen med användning av ett flyttbart USB-minne. 4.2 Rutiner för generering av nycklar Nycklarna (privat och publik) i ett nyckelpar skapas alltid samtidigt i en för ändamålet särskilt dedicerad nyckelgenereringsmaskin som saknar nätanslutning och är placerad i en säkrad datorhall med inpasseringskontroll och mycket begränsat tillträde. Nycklar skapas med hjälp av slumpdata producerat av en hårdvarubaserad slumpgenerator som motsvarar de krav som specificeras av NIST [4]. Tillgången till komponenterna för generering av nycklar och signering av zonfil är kontrollerad och starkt begränsad. Aktuell operatör utför tillsammans med annan person i ansvarig ställning som säkerhetschef, avdelningschef eller annan behörig personal samtliga operationer. Inga operationer får genomföras av någon person ensam eller med obehöriga personer närvarande. Generering av nycklar måste alltid göras i närvaro av minst två personer. Dessa ska vara närvarande under hela operationen. 4.2.1 NYCKELSIGNERINGSNYCKLAR (KSK) KSK används endast för att signera zonsigneringsnycklar (ZSK). Publika KSK är de nycklar som kommuniceras till Internetanvändare och som ligger till grund för förtroendekedjan mellan över- och underliggande zon. KSK genereras i primärminnet på nyckelgenereringsmaskinen och kopieras till tre (3) identiska aktiva kort. Därefter raderas KSK från primärminnet på nyckelgenereringsmaskinen och de aktiva korten spärras så att de privata nycklarna inte kan läsas ut. Algoritm: Media för lagring: RSA[8], 2048 bitar aktivt kort ( smart card ) Dokumentnummer: 2007-5 Sida 9 av 15

4.2.2 ZONSIGNERINGSNYCKLAR (ZSK) ZSK används enbart för att signera data i se-zonen. ZSK genereras i primärminnet på nyckelgenereringsdatorn och kopieras till ett flyttbart sekundärminne. Därefter raderas ZSK från primärminnet på nyckelgenereringsdatorn. ZSK flyttas från nyckelgenereringsdatorn via det flyttbara sekundärminnet till zonsigneringsdatorn. Använd algoritm: Media för lagring: 4.3 Förvaring av nycklar RSA[8], 1024 bitar flyttbart sekundärminne 4.3.1 NYCKELSIGNERINGSNYCKLAR (KSK) Nyckelsigneringsnycklar lagras på tre (3) identiska aktiva kort. Ett av de aktiva korten förvaras i ett fast monterat värdeskåp i ett låst och larmat utrymme på.se. Tillträde till utrymmet är begränsat och kontrollerat. Inpassering loggas. Ett aktivit kort förvaras i värdeskåp i ett låst och larmat utrymme på.se:s plats för reservdrift. Ett aktivt kort utgör säkerhetskopia av KSK och förvaras i bankfack. Endast särskilt utsedda personer har åtkomst till värdeskåpen och till bankfacket där säkerhetskopian förvaras. 4.3.2 ZONSIGNERINGSNYCKLAR (ZSK) Zonsigneringsnycklar lagras på ett sekundärminne anslutet till zonsigneringsmaskinen. Zonsigneringsmaskinen förvaras i ett låst och larmat serverrum dit endast behörig driftspersonal har tillträde. Inpassering loggas. 4.4 Användning av nycklar 4.4.1 NYCKELSIGNERINGSNYCKLAR (KSK) Aktuell privat nyckelsigneringsnyckel (som lagras på aktivt kort) används när zonsigneringsnycklar skall genereras och signeras. Detta sker varje gång en ny zonsigneringsnyckel ska tas i produktion. 4.4.2 ZONSIGNERINGSNYCKLAR (ZSK) De privata zonsigneringsnycklarna används för automatisk signering av se-zonen. Detta sker varje gång en ny zonfil genereras. Dokumentnummer: 2007-5 Sida 10 av 15

4.5 Byte av nycklar 4.5.1 ORGANISERAT BYTE AV NYCKELSIGNERINGSNYCKLAR (KSK) Organiserat byte av nyckelsigneringsnycklar (KSK) sker varje år. Giltighetstid för KSK är två år. Detta medför att.se alltid har nycklar som har en giltighetstid som överlappar varandra med 1 år. KSK:s livscykel illustreras med följande bild: Figur 1: Giltighetstid för KSK 4.5.2 AKUT BYTE AV NYCKELSIGNERINGSNYCKLAR (KSK) Akut byte av nyckelsigneringsnycklar (KSK) kan behöva göras om den privata nyckeln röjs. Med röjd nyckel avses att den privata nyckeln kommer utanför.se:s kontroll, genom borttappande, stöld, kopiering eller på annat sätt, eller att den privata nyckeln rekonstrueras på kryptografisk väg (kryptoanalys, uttömmande sökning). Om minst en av.se:s giltiga privata KSK:er blir röjd skall användningen av densamma upphöra snarast möjligt. En ny KSK genereras och publiceras snarast, under ordnade former och enligt gällande ordinarie rutin för detta fastställd av.se.efter att information om akut byte av KSK skickats via den fastställda kommunikationskanalen (se 4.5.3) avvaktar.se i 30 dagar innan den röjda KSK:n och dess signaturer tas bort. 4.5.3 INFORMATION OM BYTE AV NYCKELSIGNERINGSNYCKLAR (KSK) Information om byte av KSK meddelas via dnssec-announce@lists.nic.se. Det är förlitande parts ansvar att prenumerera på information som skickas via den kommunikationskanalen. Dokumentnummer: 2007-5 Sida 11 av 15

4.5.4 ORGANISERAT BYTE AV ZONSIGNERINGSNYCKLAR (ZSK) Organiserat byte av zonsigneringsnycklar (ZSK) sker en gång per månad. ZSK:s livscykel illustreras i följande bild: Figur 2: Giltighetstid för ZSK 4.5.5 AKUT BYTE AV ZONSIGNERINGSNYCKLAR (ZSK) Akut byte av zonsigneringsnycklar (ZSK) kan behöva göras om den privata nyckeln röjs. Om aktuell ZSK misstänks röjd genereras omedelbart en ny ZSK och publiceras snarast, under ordnade former och enligt gällande ordinarie rutin för detta fastställd av.se. 4.6 Distribution av aktuella nyckelsigneringsnycklar (KSK) Aktuella nyckelsigneringsnycklar (KSK) publiceras på.se:s webbplats. De publicerade nycklarna är signerade med PGP och.se:s officiella PGP-nyckel..SE:s officiella PGPnyckel har nyckelid 0xfcec5128f440ee9b och finns bl.a. på http://subkeys.pgp.net:11371/pks/lookup?op=get&search=0xf44 0EE9B Dokumentnummer: 2007-5 Sida 12 av 15

5 Zonsignering Processen med zonsignering är integrerad med den normala zongenereringsprocessen. En kort beskrivning av dataflödet vid zonsignering beskrivs nedan: a. Zonfilsgeneratorn frågar registry-databasen efter alla zonposter och genererar en zonfil. b. Signeringsmaskinen hämtar den nya zonfilen från zonfilsgeneratorn. c. Signeringsmaskinen signerar zonen med användning av befintlig on line zonsigneringsnyckel (ZSK). d. Den signerade zonen kopieras tillbaka till zonfilsgeneratorn. e. Zonfilsgeneratorn laddar den signerade zonfilen till lokal namnserver som enbart används för distribution av den signerade zonen till de dolda primära namnservrarna. f. De sekundära namnservrarna hämtar zonen från någon av de primära namnservrarna. Figur 3: Nyckelgenerering och zonsignering ZSK används för att signera zonen. Signaturen har i sin tur en livscykel som kan illustreras genom följande:.se Figur 4: Giltighetstid för signatur Dokumentnummer: 2007-5 Sida 13 av 15

6 Underliggande zoners nycklar 6.1.SE:s ansvarsområde.se tar inget ansvar för underliggande zoners nycklar eller hanteringen av dessa. 6.2 Underliggande zoners ansvarsområde Varje underliggande zon ansvarar själv för att generera nycklar och publicera dem i DNS och i övrigt hantera nycklarna på ett säkert sätt. 6.3 Röjda nycklar i underliggande zoner Om en enskild Innehavares privata nyckel röjs är det viktigt att det av.se publicerade fingeravtrycket av domänens publika nyckel uppdateras. Uppdatering görs genom att en ny DS-post publiceras i enlighet med i var tid gällande rutiner hos.se. Dokumentnummer: 2007-5 Sida 14 av 15

7 Verifiering av koppling mellan nyckel - Innehavare - domän.se verifierar kopplingen mellan en publik nyckel och Innehavare av ett domännamn enligt följande rutin: 1. Innehavaren tecknar ett avtal med ett godkänt.se-ombud som erbjuder.se- och anger i avtalet vem som är teknisk kontakt för domänen, inklusive kontaktuppgifter. 2..SE-ombudet ska kontrollera att angivna uppgifter i avtalet stämmer överens med de uppgifter som finns lagrade i.se:s kunddatabas, och underrättar.se om att Innehavaren tecknat sig för tjänsten.se- och för vilken domän. 3. Den tekniska kontakten loggar in i.se:s webbaserade verktyg Domänhanteraren. Den tekniska kontakten kan härefter administrera DS-poster för aktuell domän. Dokumentnummer: 2007-5 Sida 15 av 15

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss