[uanog] Немножко о DNSSEC
Taras Heichenko
tasic at academ.kiev.ua
Fri Sep 29 10:47:24 EEST 2017
Возвращаясь к старым письмам.
Если кто не знает, то 17 сентября корневая зона была подписана новым KSK и с тех
пор живет с двумя KSK ключами -- старым и новым. ICANN планировал 11 октября
убрать из корня старый KSK и оставить только новый. Однако, как оказалось,
до 8% резолверов, работающих на свежих версиях BIND и Unbound не обновили
trust anchor и при переходе только на новый KSK работать перестанут. Это не говоря
о резолверах, работающих на других версиях и вариантах ПО. Поэтому ICANN
отложил KSK rollover. По предварительным оценкам на квартал.
> On Jun 16, 2017, at 10:06, Taras Heychenko <tasic at academ.kiev.ua> wrote:
>
>
>> On Jun 15, 2017, at 20:05, Sergey Myasoedov <sm at netartgroup.com> wrote:
>>
>> Тарас,
>>
>> Спасибо за напоминание. У меня только один комментарий.
>>
>>> - Оператор может сконфигурировать (установить) новый trust anchor вручную, получив новый KSK root зоны с сайта iana.org по
>>> адресу https://www.iana.org/dnssec/files
>>
>> По этому адресу напрямую нельзя получить новый DNSKEY для корня. Надо ставить утилиту get-trust-anchor с гитхаба, и ей уже процессить данные ICANN.
>
> Да, спасибо за комментарий. Забыл сказать, что ссылки у меня тоже несколько "с переводом", т.к.
> в оригинальном письме от ICANN они там немножко хитровывернутые. Я заходил по ссылке, а потом
> копировал адрес из браузера в письмо -- уж извините за такую неаккуратность. А внизу страницы
> по выше процитированной ссылке есть ссылка на упомянутую Сергеем утилиту.
>
>>
>>
>> --
>> Sergey
>
> --
> Taras Heychenko
> tasic at academ.kiev.ua
>
>
>
>
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
--
Taras Heychenko
tasic at academ.kiev.ua
More information about the uanog
mailing list