[uanog] Немножко о DNSSEC

Taras Heichenko tasic at academ.kiev.ua
Fri Sep 29 13:10:48 EEST 2017 


> On Sep 29, 2017, at 13:01, Sergey Myasoedov <sm at netartgroup.com> wrote:
> 
> Привет,
> 
> На самом деле 11 октября планировалось подписать корневую зону новым ключом, который уже три недели был опубликован в зоне.

Мне казалось, что сейчас зона подписана обоими ключами. Нужно проверить, будет ли работать, если оставить только новый
trust anchor.

> И тут ICANN испугался.
> 
> Удаление старого ключа (2010 года) планировалось ближе к концу года.
> 
> Лично для меня новостью стал апрельский RFC 8145, который был немедленно имплементирован в bind и unbound.

Видимо решили, что если не проверить готовность, то шкаф может упасть слишком громко?

> 
> 
> --
> Sergey
> 
> 
>> On 29 Sep 2017, at 09:47, Taras Heichenko <tasic at academ.kiev.ua> wrote:
>> 
>> Возвращаясь к старым письмам.
>> 
>> Если кто не знает, то 17 сентября корневая зона была подписана новым KSK и с тех
>> пор живет с двумя KSK ключами -- старым и новым. ICANN планировал 11 октября
>> убрать из корня старый KSK и оставить только новый. Однако, как оказалось,
>> до 8% резолверов, работающих на свежих версиях BIND и Unbound не обновили 
>> trust anchor и при переходе только на новый KSK работать перестанут. Это не говоря
>> о резолверах, работающих на других версиях и вариантах ПО. Поэтому ICANN
>> отложил KSK rollover. По предварительным оценкам на квартал.
>> 
>>> On Jun 16, 2017, at 10:06, Taras Heychenko <tasic at academ.kiev.ua> wrote:
>>> 
>>> 
>>>> On Jun 15, 2017, at 20:05, Sergey Myasoedov <sm at netartgroup.com> wrote:
>>>> 
>>>> Тарас,
>>>> 
>>>> Спасибо за напоминание. У меня только один комментарий.
>>>> 
>>>>> - Оператор может сконфигурировать (установить) новый trust anchor вручную, получив новый KSK root зоны с сайта iana.org по
>>>>> адресу https://www.iana.org/dnssec/files
>>>> 
>>>> По этому адресу напрямую нельзя получить новый DNSKEY для корня. Надо ставить утилиту get-trust-anchor с гитхаба, и ей уже процессить данные ICANN.
>>> 
>>> Да, спасибо за комментарий. Забыл сказать, что ссылки у меня тоже несколько "с переводом", т.к.
>>> в оригинальном письме от ICANN они там немножко хитровывернутые. Я заходил по ссылке, а потом
>>> копировал адрес из браузера в письмо -- уж извините за такую неаккуратность. А внизу страницы
>>> по выше процитированной ссылке есть ссылка на упомянутую Сергеем утилиту.
>>> 
>>>> 
>>>> 
>>>> --
>>>> Sergey
>>> 
>>> --
>>> Taras Heychenko
>>> tasic at academ.kiev.ua
>>> 
>>> 
>>> 
>>> 
>>> _______________________________________________
>>> uanog mailing list
>>> uanog at uanog.kiev.ua
>>> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>> 
>> --
>> Taras Heychenko
>> tasic at academ.kiev.ua
>> 
>> 
>> 
>> 
>> _______________________________________________
>> uanog mailing list
>> uanog at uanog.kiev.ua
>> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
> 

--
Taras Heychenko
tasic at academ.kiev.ua

More information about the uanog mailing list