<div dir="ltr">Hi Johan,<div><br></div><div>I had a go six months ago with an attempt to use BIND and its online signing. I even tried to build it with SoftHSM but never got it to work properly.</div><div>I ended up sticking with ODS for the foreseeable future. IMHO ODS is quite solid and the BIND solution doesn't seem quite ready exactly as you see it.</div><div><br></div><div>Regards,</div><div><br></div><div>/Henke<br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><br></div><div><br></div><div><br></div><div><img src="https://dnsmonitor.com/wp-content/uploads/2018/10/logo_color_120x60.png"><br></div><div><b><font color="#0b5394"><br></font></b></div><div><b><font color="#073763">Henrik Dahlberg</font></b></div><div><font color="#073763">Founder/CEO</font></div><div><font color="#073763">+46 70 938 3069</font></div><div><font color="#073763"><br></font></div><div><font color="#073763"><b><a href="http://www.dnsmonitor.com" target="_blank">https://dnsmonitor.com</a></b></font></div></div></div></div></div></div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Sep 7, 2020 at 10:17 AM Johan A Bergstrom via Opendnssec-user <<a href="mailto:opendnssec-user@lists.opendnssec.org">opendnssec-user@lists.opendnssec.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello.<br>
<br>
So I am looking to redesign our DNS infrastructure and I am in discussions with some other architects about the DNSSEC support implementation.<br>
<br>
We have been running OpenDNSSEC since 1.4.0 and we are quite happy with it, have been able to automate a lot of zone/DNSSEC management in this solution, but now we need to refresh the whole infrastructure and my colleagues are looking into Bind as a standalone solution now that is has support for inline signing and KASP and more.<br>
<br>
The pro's I see is in OpenDNSSEC are that the keys are managed with better/higher security in mind, SoftHSM (or HW HSM module), in bind it's still just keeping private keypairs in the filesystem although can be in an alternate location from the zonefiles.<br>
<br>
The con's I see in OpenDNSSEC are that the setup is much more complex, and troubleshooting it requires deeper infrastructural knowledge.<br>
<br>
My colleagues are arguing that Bind will eventually make OpenDNSSEC obsolete, which might happen, but the timeframe I see for this is quite long, maybe in 4-5 years as they have just recently implemented KASP, still missing the HSM management for private keys, which is the most important part security wise in my perspective.<br>
<br>
In an overview, I am looking to implement the DNSSEC management/signing/security part inhouse, and put nameserver slaves in containers/vms around available clouds.<br>
<br>
More pro's/con's regarding either solution, what do you guys think?<br>
<br>
Hälsningar / Best regards, <br>
<br>
Johan Bergström, Lead Technical Architect / Linux<br>
TietoEVRY, ZSH Hybrid Infra<br>
<br>
_______________________________________________<br>
Opendnssec-user mailing list<br>
<a href="mailto:Opendnssec-user@lists.opendnssec.org" target="_blank">Opendnssec-user@lists.opendnssec.org</a><br>
<a href="https://lists.opendnssec.org/mailman/listinfo/opendnssec-user" rel="noreferrer" target="_blank">https://lists.opendnssec.org/mailman/listinfo/opendnssec-user</a><br>
</blockquote></div>