Dokumentasjon

Prosjektet har oppdatert følgende dokumentasjon:

  1. EPP-grensesnittdokumentasjon

    Dokumentasjonen er utvidet med beskrivelser av hvordan DNSSEC informasjonen skal utveksles via EPP-snittet.

    Følgende endringer er definert i EPP-grensesnittet:

    1. DNSSEC-utvidelsene skal være iht. secDNS-1.1 som definert i RFC5910.

    2. Elementet Maximum Signature Lifetime vil ikke bli akseptert. Forsøk på å sende inn dette vil bli avvist.

    3. DS-data skal sendes over EPP iht. DS Data Interface.
      Her vil varianten med valgfri key-data også aksepteres, slik at registrarer som ønsker validering av DS kan få det utført av registry ifm. innsending av DS.

      Forsøk på å bruke Key Data Interface vil bli avvist.

    4. Når det gjelder algoritmer så vil policy bestemme hvilke som blir tillatt. Her vil vi akseptere de som er vanlige i bruk, og som systemet kan håndtere. Vi vil muligens likevel sperre for de mest uvanlige, som GOST og elliptiske varianter (ECDSA, RFC 6605).

    5. Når det gjelder digest-typer så vil policy bestemme hvilke som blir tillatt. Her vil vi akseptere de som er vanlige i bruk, og som systemet kan håndtere. Vi vil muligens likevel sperre for de mest uvanlige, som GOST og SHA-384.

    6. Overføring av sikrede delegeringer mellom registrarer:
      Når en sikret delegering skal overføres til en registrar som ikke støtter DNSSEC, så har vi valgt å utføre overføringen, men strippe bort DS-data. Dette fører til at delegeringen avsikres hos ny registrar.

    7. DNS-sjekker.
      Noen nye DNSSEC-spesifikke sjekker vil bli utført under registrering og oppdatering av delegeringer.

      Følgende sjekker utføres når en delegering har minst en DS-post:

      • Slå opp DNSKEY-postene hos hver av navnetjenerne for delegeringen:
        • DNSKEY-settene fra hver av navnetjenerne må matche hverandre.
        • DNSKEY-settet må inneholde minst én nøkkel som er referert til fra DS-settet.
        • Slå opp RRSIG-postene for DNSKEY-settet, og sjekk at DNSKEY-settet er signert av (minst) én av nøklene som er referert til fra DS-settet.
        • Slå opp RRSIG-postene for SOA-posten og NS-postene. Hver av RRSIG-settene må inneholde minst en RRSIG som er signert med en av nøklene i DNSKEY-settet.

      Forsøk på innlegging av DS-poster på en delegering vil bli avvist dersom noen av disse basale sjekkene ikke går gjennom.

      Merk at det foreløpig ikke utføres noen spesifikke DNSSEC-sjekker når navnetjenere legges til eller endres.

  2. DNSSEC-støtte i Whois-grensesnittet

    Whois er oppdatert til å vise DNSSEC-data for et domene dersom slike data er registrert. Nyeste versjon av grensesnitt-dokumentet for Whois er publisert her.

  3. Et nytt DPS-dokument for .no

    Norid har nå laget et DPS (DNSSEC Policy and Practice Statement) iht. format og innhold som anbefalt av RFC6841.

    DPSen inneholder bla. beskrivelse av registryets nøkkelvalg, algoritmevalg, prosedyrer for rullering av nøkler, litt om infrastruktur og hvordan vi har sikret signeringskjede og nøkkelinformasjon. Vi har basert våre valg av algoritmer og andre verdier på best-practices fra DPS dokumentene til se, nl og at.

    Dokumentet er publisert sammen med annen teknisk dokumentasjon. Nyeste versjon av DPS dokumentet finnes her (revisjon 1, datert 2014-09-18).

Sist endret i 2015 eller tidligere