Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DNSSEC: The Good, The Bad & The Secure

Mattias Geniar
November 23, 2014
Technology
1
4.6k

DNSSEC: The Good, The Bad & The Secure

A brief introduction into DNSSEC.

Mattias Geniar

November 23, 2014
Tweet

More Decks by Mattias Geniar

See All by Mattias Geniar
Code Obfuscation, PHP shells & more: what hackers do once they get past your code
mattiasgeniar
0
560
Varnish for PHP developers (LaraconEU 2016)
mattiasgeniar
4
1.3k
HTTP/2 for WordPress Developers
mattiasgeniar
2
610
HTTP/2 for PHP developers
mattiasgeniar
6
7.6k
What's new in PHP 7?
mattiasgeniar
2
2k
HTTP/2: The Next Version of the Internet
mattiasgeniar
1
17k
Antwerp Wordpress User Group: Code Obfuscation, PHP Shells & More Security Tips/Tricks
mattiasgeniar
2
990
Managing Zabbix Hosts & Templates with Puppet (Configuration Management)
mattiasgeniar
1
3.1k
MoZBX: Why Mobile Zabbix Matters
mattiasgeniar
0
630

Other Decks in Technology

See All in Technology
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
6
620
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
150
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
[FOSS4G 2024 Japan LT] LLMを使ってGISデータ解析を自動化したい!
nssv
1
210
New Relicを活用したSREの最初のステップ / NRUG OKINAWA VOL.3
isaoshimizu
2
590
隣接領域をBeyondするFinatextのエンジニア組織設計 / beyond-engineering-areas
stajima
1
270
Lambdaと地方とコミュニティ
miu_crescent
2
370
Engineer Career Talk
lycorp_recruit_jp
0
160
テストコード品質を高めるためにMutation Testingライブラリ・Strykerを実戦導入してみた話
ysknsid25
7
2.6k
開発生産性を上げながらビジネスも30倍成長させてきたチームの姿
kamina_zzz
2
1.7k
Amplify Gen2 Deep Dive / バックエンドの型をいかにしてフロントエンドへ伝えるか #TSKaigi #TSKaigiKansai #AWSAmplifyJP
tacck
PRO
0
370
rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理
kitsuya0828
3
380

Featured

See All Featured
Agile that works and the tools we love
rasmusluckow
327
21k
The Cult of Friendly URLs
andyhume
78
6k
Statistics for Hackers
jakevdp
796
220k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
109
49k
Become a Pro
speakerdeck
PRO
25
5k
Mobile First: as difficult as doing things right
swwweet
222
8.9k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
4 Signs Your Business is Dying
shpigford
180
21k
Music & Morning Musume
bryan
46
6.2k
Making Projects Easy
brettharned
115
5.9k
Embracing the Ebb and Flow
colly
84
4.5k
Six Lessons from altMBA
skipperchong
27
3.5k

Transcript

  1. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   DNSSEC   The  Good,  The  Bad  &  The  Secure  

  2. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   Schedule   -­‐  Recap:  how  DNS  works     -­‐   What  DNSSEC  does     -­‐   How  DNSSEC  works     -­‐   How  we  implement  it     -­‐   Why  it’s  a  bitch  to  configure.  

  3. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   RECAP   DNS  –  The  Basics  

  4. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   SETUP     Stel  dat  …     Domain:  dexia.be   -­‐   ns1.nucleus.be   -­‐   ns2.nucleus.be   -­‐   ns3.nucleus.be   -­‐   ns4.nucleus.be  

  5. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   End  user   I  should  really   pay  my  bill  …    

  6. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   End  user   ISP   Q:  www.dexia.be   Let’s  go  to   www.dexia.be    

  7. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   End  user   ISP   Q:  www.dexia.be   Let’s  go  to   www.dexia.be     Where  the   f*#}  is  that?  

  8. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   End  user   ISP   Q:  www.dexia.be   Let’s  go  to   www.dexia.be     Where  the   f*#}  is  that?   Root  nameservers  

  9. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   End  user   ISP   Q:  www.dexia.be   Let’s  go  to   www.dexia.be     Where  the   f*#}  is  that?   Root  nameservers   Dnow.   Ask  .BE  

  10. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   End  user   ISP   Q:  www.dexia.be   Let’s  go  to   www.dexia.be     Where  the   f*#}  is  that?   Root  nameservers   TLD  -­‐  .BE  name   Q:  www.dexia.be   Dnow.   Ask  .BE  

  11. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   End  user   ISP   Q:  www.dexia.be   Let’s  go  to   www.dexia.be     Where  the   f*#}  is  that?   Root  nameservers   TLD  -­‐  .BE  name   Q:  www.dexia.be   Dnow.   Ask  .BE   A:  Check  with  Nucleus   Get  lost.     Ask  Nucleus.  

  12. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   End  user   ISP   Q:  www.dexia.be   Let’s  go  to   www.dexia.be     Where  the   f*#}  is  that?   Root  nameservers   TLD  -­‐  .BE  name   Q:  www.dexia.be   Dnow.   Ask  .BE   A:  Check  with  Nucleus   Get  lost.     Ask  Nucleus.   ns1.nucleus.be  

  13. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   End  user   ISP   Q:  www.dexia.be   Let’s  go  to   www.dexia.be     Where  the   f*#}  is  that?   Root  nameservers   TLD  -­‐  .BE  name   Q:  www.dexia.be   Dnow.   Ask  .BE   A:  Check  with  Nucleus   Get  lost.     Ask  Nucleus.   ns1.nucleus.be   Here  ya  go.  

  14. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   End  user   ISP   Q:  www.dexia.be   Let’s  go  to   www.dexia.be     Where  the   f*#}  is  that?   Root  nameservers   TLD  -­‐  .BE  name   Q:  www.dexia.be   Dnow.   Ask  .BE   A:  Check  with  Nucleus   Get  lost.     Ask  Nucleus.   ns1.nucleus.be   Here  ya  go.   A:  212.63.232.38  

  15. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   Mkay.  What’s  the  problem,  Doc?  

  16. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   Vewwy  vewwy  old.  

  17. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   It  works.  Leave  it.  

  18. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   Security  is  not  a  requirement  

  19. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   Here’s  how  we  break  it.  

  20. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   Security:  don’t  trust  anyone.   End  user   ISP   Q:  www.dexia.be  

  21. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   Security:  everybody  lies.   End  user   ISP   Q:  www.dexia.be   A:  193.239.211.1   My  secret  server.  

  22. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   I’m  scared.  Save  me.  

  23. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   DNSSEC   DNS  Security  Extensions   Secures  the  DATA  returned  by  nameservers   Created  in  1997  

  24. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   DNSSEC   Backwards  compa5ble.  

  25. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   DNSSEC   Signs  data,  does  not  encrypt.              (private  vs  public  keys)  

  26. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   DNSSEC   Publish  the  public  key  part.  

  27. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   DNSSEC   NSEC/NSEC3:  Denial  of  Existence  

  28. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   End  user   ISP   Q:  www.dexia.be   Root  nameservers   TLD  -­‐  .BE  name   Q:  www.dexia.be   A:  Check  with  Nucleus   ns1.nucleus.be   A:  212.63.232.38  

  29. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   This  must  be  magic?!   Resource  Record  (A,  CNAME,  TXT,  MX,  …):  signed  with  RRSIG  Record   Public  key  gets  published  in  DNSKEY  record   Parent  zone  publishes  public  key  of  child  zone  in  DS  records   Non-­‐exis5ng  entries  signed  with  NSEC3  

  30. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   Keys?  Keys!   Key  rota5on  for  public  keys   Zone  Signing  Key  (ZSK):  sign  records  in  a  zone   Key  Signing  Key  (KSK):  sign  the  ZSK  and  link  to  parent  zone  

  31. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   Show  me  the  money!   $TTL  1D   @  IN        SOA          ns1.nucleus.be.        dnsmaster.nucleus.be.  (                  2010073002            ;  serial                  1H;  refresh                  30M                          ;  retry                  4W                            ;  expire                  1D  )                        ;  minimum     IN            NS            ns1.nucleus.be.   IN            NS            ns2.nucleus.be.   IN            NS            ns3.nucleus.be.   IN            NS            ns4.nucleus.be.                    3600          IN            MX            10            asav01.bru.nucleus.be.                  3600          IN            MX            10            asav02.ant.nucleus.be.     nucleus.eu.            3600                        IN            A              188.93.153.72   mail          3600                        IN            CNAME      mail.nucleus.be.   *              3600                        IN            CNAME      nucleus.eu.   www            3600                        IN            CNAME      lin1.nucleus.be.   blah          3600                        IN            CNAME      www.nucleus.be.   nucleus.eu:  normal,  unsigned  zone  

  32. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   Show  me  the  money!   nucleus.eu.                          86400      IN  SOA    ns1.nucleus.be.  dnsmaster.nucleus.be.  (                                                                                  2010073002  ;  serial                                                                                  3600              ;  refresh  (1  hour)                                                                                  1800              ;  retry  (30  minutes)                                                                                  2419200        ;  expire  (4  weeks)                                                                                  86400            ;  minimum  (1  day)                                                                                  )                                                  86400      RRSIG      SOA  8  2  86400  20101026151414  (                                                                                  20101012141414  22506  nucleus.eu.                                                                                  j6n9E/xC2q+72sEIoWZhykBU3ZZ6mUtYMMu                                                                                  PTbv5wlSdGQ5BlUK1xCux4BVBov/TQU3B1B                                                                                  hO0LaSOdgMhCnenmnxtUX6KwV2U+4JxR8PFy                                                                                  2f0C+0EOlHU8xZ2oIaNWOZH71rl9EYVCO3Ya                                                                                  fl3eyD2dSITz2xT77WarLrbnul8=  )                                                  86400      NS            ns1.nucleus.be.                                                  86400      NS            ns2.nucleus.be.                                                  86400      NS            ns3.nucleus.be.                                                  86400      NS            ns4.nucleus.be.                                                  86400      RRSIG      NS  8  2  86400  20101026151414  (                                                                                  20101012141414  22506  nucleus.eu.                                                                                  QBN5NLbkijUGIky583MWmEm15vxVWkgksQvf                                                                                  T/cTzn+10JKHgm4Wzt8qjZdPrKH2OIPT3VVT                                                                                  rP7WI2+O6EMR+jRf6J1G/on4jNg+3fKG7ZO/                                                                                  OsOj9HLZNzBQYDzGoO6lXe6fdsJNBNOvIFju                                                                                  wyhziw89bCzal/Hyb3VIPwV8Zpw=  )                                                  3600        A              188.93.153.72     nucleus.eu:  DNSSEC  signed    3600        RRSIG      A  8  2  3600  20101026151414  (                                                                                  20101012141414  22506  nucleus.eu.                                                                                  Oj465TVbJ/c1yieAzwOwLEh3qyRjmjr8+s8f                                                                                  JjseIRX4DiKj5sbS8dF/1mYwVyFRfXhqzrS5                                                                                  hRS/j3RMx7WKXs2x4PoR6HzUqyWVBtMosyIC                                                                                  g/6tm9l3JsBjHHUwSS2b7Pe8aHLns1wb8eY5                                                                                  XpEukb3aTPt6sbW7bpbmZVFzhSQ=  )                                                  3600        MX            10  asav01.bru.nucleus.be.                                                  3600        MX            10  asav02.ant.nucleus.be.                                                  3600        RRSIG      MX  8  2  3600  20101026151414  (                                                                                  20101012141414  22506  nucleus.eu.                                                                                  OFLT2VKX0Y/GIzHUlsSxD976iHZDLp77mf4p                                                                                  CanC5OMaA9dLlVEwIp2xdwqOAauluozmQAUJ                                                                                  Y7Y6Hb9g811MPcaU5wHyjVQR9cXZqk9KrzBE                                                                                  oOHMz3fprdH0pYAmcHhyixSs9ohLLTvwG37X                                                                                  GZcmMnu2qQgaqTyZfSe5T4wHFKA=  )    86400      DNSKEY    256  3  8  (                                                                                  AwEAAbi/ArlDrarlPiu4PAt6HBnA+CsaP4Xa                                                                                  h0Uc8UGLNSPPtT/yiOR3zj9yHpkENsctIDzC                                                                                  bg8IWH1UdMnj19kvDIPHC9Diwngdl2meENm3                                                                                  w9pZb7JiVkQAbrUJgYG21ldk4XdPd+Sraz6                                                                                  ZB0ool6fTl3+6Rr2xwbGbFSJfcXCmKyl                                                                                  )  ;  key  id  =  22506   …  

  33. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   Show  me  the  money!   86400      RRSIG      DNSKEY  8  2  86400  20101026151414  (                                                                                  20101012141414  22225  nucleus.eu.                                                                                  GrlJYgv9OIaWHKw2csLeSZw151WB4wFMchM3                                                                                  syGq8tcV7p6V50w/wGDMoEshkQI0CdEILgxa                                                                                  F2NtmnUniy4hfafKcVHPg25rj0kQio79l0Rs                                                                                  QQPjDmXGIdkyWbRbK7M/ptn{fq6v37NMVLP                                                                                  Rv7BQ27u/NATI89tj6l45pOa6nB53RfRRfLM                                                                                  nVEumTzYdQi3YTiewfP2DrmL/qJoaSZVC/BR                                                                                  9jRg36F6FLHez3nxdEBP8YFnJi1CukRaJA8e                                                                                  zHUFeUcMhPG3X0LRFdBxpI3eNaOv5T5AGvKw                                                                                  ODMD1qmVPsi/doakRu93WIk+hVt1B0y5jAe+                                                                                  1pErKmKcH6Pf4N28wA==  )   86400      RRSIG      DNSKEY  8  2  86400  20101026151414  (                                                                                  20101012141414  22506  nucleus.eu.                                                                                  VX49z+fLmab6Nno5jdISGd6PhTi0ovMmjwfL                                                                                  7jQIGHl3Jsbbtw2TMFvuROPIXlSWcN2L6ixr                                                                                  t5PJoFFlYQl3qsCUZQjHsbvvQNGDQN2i0zCK                                                                                  qWaC0aui7LhdXCPrv8Gf2KskANNoTk0NmAuu                                                                                  Ke60oX4P00x4NeT1xpFnZnsgXbw=  )                                                  0              NSEC3PARAM  1  0  5  46AF2E27                                                  0              RRSIG      NSEC3PARAM  8  2  0  20101026151414  (                                                                                  20101012141414  22506  nucleus.eu.                                                                                  jhayx2h6g0gsJb/oe5m0F3bRxd4GtRPhbfKX                                                                                  4I5934SoF5/ofnYlxOTyV4ey/m/9dnxS5IIq                                                                                  ej7Kzjv8HB6e7yTgr2zzrhTshtcZaJIhBRar                                                                                  zIAVny60xDpCz/V/qtjEZw1+SwjrE3aPaFDQ                                                                                  NyMZetYK4LL8uiT3szi4f+L/peo=  )   nucleus.eu:  DNSSEC  signed   *.nucleus.eu.                      3600        IN  CNAME  nucleus.eu.                                                  3600        RRSIG      CNAME  8  2  3600  20101026151414  (                                                                                  20101012141414  22506  nucleus.eu.                                                                                  EBe1hfvY1Skm3YZXm/h/X6YmuV02vQwthXNa                                                                                  ieYmbkVZmoeWzxFQWoAqPmgJ8RKsThQXNY0n                                                                                  s5/Naf866yhxLGv+3dL+kie4YAT44IxTtk3a                                                                                  hzd8ORdbSEU/LtX7/deKbuKMYaqEsYLAM9f                                                                                  tsk8QindoiXkNKXGd0Z5XusJhFI=  )   blah.nucleus.eu.                3600        IN  CNAME  www.nucleus.be.                                                  3600        RRSIG      CNAME  8  3  3600  20101026151414  (                                                                                  20101012141414  22506  nucleus.eu.                                                                                  KY4dsjePG1i5akcN4q/JvQHjC9l6/kgkQX02                                                                                  cjz3990hhsUghMbxJrdL+dCndXj65Kh7YuDa                                                                                  IYXNgkyLzooRYnRq74XLd8/yWrhrlQMGRZJH                                                                                  gpdv+HrTY0Bex9S2eO+1E1UISY8i/g7ND4hn                                                                                  gBaWQrA3rKz5wA2662jPhjV06jQ=  )   mail.nucleus.eu.                3600        IN  CNAME  mail.nucleus.be.                                                  3600        RRSIG      CNAME  8  3  3600  20101026151414  (                                                                                  20101012141414  22506  nucleus.eu.                                                                                  sw4UsLjt9Car++ZXsSby1Lqa1XmWeyOZFsiF                                                                                  oHAT6HAUzYK19qwPz5nJc6aQoLzvH3F6PjqJ                                                                                  Kwek4SJUGMPpZOLOqGtguerNUxAK7XIHxgaJ                                                                                  REpF6u77NqAmTxYafmkXnUVzA9QeYS49ocQ5                                                                                  GpB8iVd7zwNYDo1LmZzBszjmOMo=  )  

  34. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   Auch,  mi  estómago  

  35. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   Let’s  analyze.  KSK  vs  ZSK.   86400      DNSKEY    256  3  8  (                                                                                  AwEAAbi/ArlDrarlPiu4PAt6HBnA+CsaP4Xa                                                                                  h0Uc8UGLNSPPtT/yiOR3zj9yHpkENsctIDzC                                                                                  bg8IWH1UdMnj19kvDIPHC9Diwngdl2meENm3                                                                                  w9pZb7JiVkQAbrUJgYG21ldk4XdPd+Sraz6                                                                                  ZB0ool6fTl3+6Rr2xwbGbFSJfcXCmKyl                                                                                  )  ;  key  id  =  22506     86400      DNSKEY    257  3  8  (                                                                                  AwEAAefl1K20cC22qiDnfGyA99lM8fmbGc/1                                                                                  QHql63coA+h}FGORPu716UfGxIJWazTTmQZ                                                                                  0zpqNeXZeEZHPNqu6NdyctHAlIMLelX5/Brm                                                                                  NCjB9OdmZuX0EGKKDePGh5JSwhYSnC89JeV7                                                                                  nnD5b9SBANEbqsBALx6lQiT}t0DMO8fD4yO                                                                                  OXmgknYP7u7vvsSzAmlXxpGA8ARFcWkgJvZv                                                                                  bahT5DFR+GtoEWhU8+yyeX0MCIVyRCBEQAzH                                                                                  cBQ~zE+aw/UDn5j3of7LsFbBh38PNIrBO6                                                                                  FrNFrdynlc8z5Ah6m1AxyxIbEFj}5KSV4rx                                                                                  9MZXN8iwZFZLRZeu9vJDuQ8=                                                                                  )  ;  key  id  =  22225   256:  Zone  Signing  Key   -­‐   1024  bit   -­‐   monthly  rotated     257:  Key  Signing  Key   -­‐   2048  bit   -­‐   yearly  rotated      

  36. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   Let’s  analyze.  KSK  vs  ZSK.   86400      DNSKEY    256  3  8  (                                                                                  AwEAAbi/ArlDrarlPiu4PAt6HBnA+CsaP4Xa                                                                                  h0Uc8UGLNSPPtT/yiOR3zj9yHpkENsctIDzC                                                                                  bg8IWH1UdMnj19kvDIPHC9Diwngdl2meENm3                                                                                  w9pZb7JiVkQAbrUJgYG21ldk4XdPd+Sraz6                                                                                  ZB0ool6fTl3+6Rr2xwbGbFSJfcXCmKyl                                                                                  )  ;  key  id  =  22506     86400      DNSKEY    257  3  8  (                                                                                  AwEAAefl1K20cC22qiDnfGyA99lM8fmbGc/1                                                                                  QHql63coA+h}FGORPu716UfGxIJWazTTmQZ                                                                                  0zpqNeXZeEZHPNqu6NdyctHAlIMLelX5/Brm                                                                                  NCjB9OdmZuX0EGKKDePGh5JSwhYSnC89JeV7                                                                                  nnD5b9SBANEbqsBALx6lQiT}t0DMO8fD4yO                                                                                  OXmgknYP7u7vvsSzAmlXxpGA8ARFcWkgJvZv                                                                                  bahT5DFR+GtoEWhU8+yyeX0MCIVyRCBEQAzH                                                                                  cBQ~zE+aw/UDn5j3of7LsFbBh38PNIrBO6                                                                                  FrNFrdynlc8z5Ah6m1AxyxIbEFj}5KSV4rx                                                                                  9MZXN8iwZFZLRZeu9vJDuQ8=                                                                                  )  ;  key  id  =  22225   256/257:  Key  flag  (KSK  or  ZSK)   3:  Protocol  used   8:  Algoritme  used      

  37. Nucleus.be  •  Windows  &  Linux  Webhos5ng  •  Dedicated  servers  •

     Co-­‐loca5on  •  Online  Backup  •  Domain  Names  •  Universal  Groupware   Let’s  analyze.  RRSIG’s.   3600        RRSIG      A  8  2  3600  20101026151414  (                                                                                  20101012141414  22506  nucleus.eu.                                                                                  Oj465TVbJ/c1yieAzwOwLEh3qyRjmjr8+s8f                                                                                  JjseIRX4DiKj5sbS8dF/1mYwVyFRfXhqzrS5                                                                                  hRS/j3RMx7WKXs2x4PoR6HzUqyWVBtMosyIC                                                                                  g/6tm9l3JsBjHHUwSS2b7Pe8aHLns1wb8eY5                                                                                  XpEukb3aTPt6sbW7bpbmZVFzhSQ=  )   3600  :  TTL   RRSIG  :  Resource  Record   A:  Type  of  signed  record   8:  Algoritme  (RSA-­‐SHA256)   2:  #  labels  of  signed  record   3600:  TTL  of  signed  record     20101026151414:  Signature  expiraEon   20101012141414:  Signature  creaEon   22506:  Key  ID