On Sep 29, 2017, at 13:01, Sergey Myasoedov
wrote: Привет,
На самом деле 11 октября планировалось подписать корневую зону новым ключом, который уже три недели был опубликован в зоне.
Мне казалось, что сейчас зона подписана обоими ключами. Нужно проверить, будет ли работать, если оставить только новый trust anchor.
И тут ICANN испугался.
Удаление старого ключа (2010 года) планировалось ближе к концу года.
Лично для меня новостью стал апрельский RFC 8145, который был немедленно имплементирован в bind и unbound.
Видимо решили, что если не проверить готовность, то шкаф может упасть слишком громко?
-- Sergey
On 29 Sep 2017, at 09:47, Taras Heichenko
wrote: Возвращаясь к старым письмам.
Если кто не знает, то 17 сентября корневая зона была подписана новым KSK и с тех пор живет с двумя KSK ключами -- старым и новым. ICANN планировал 11 октября убрать из корня старый KSK и оставить только новый. Однако, как оказалось, до 8% резолверов, работающих на свежих версиях BIND и Unbound не обновили trust anchor и при переходе только на новый KSK работать перестанут. Это не говоря о резолверах, работающих на других версиях и вариантах ПО. Поэтому ICANN отложил KSK rollover. По предварительным оценкам на квартал.
On Jun 16, 2017, at 10:06, Taras Heychenko
wrote: On Jun 15, 2017, at 20:05, Sergey Myasoedov
wrote: Тарас,
Спасибо за напоминание. У меня только один комментарий.
- Оператор может сконфигурировать (установить) новый trust anchor вручную, получив новый KSK root зоны с сайта iana.org по адресу https://www.iana.org/dnssec/files
По этому адресу напрямую нельзя получить новый DNSKEY для корня. Надо ставить утилиту get-trust-anchor с гитхаба, и ей уже процессить данные ICANN.
Да, спасибо за комментарий. Забыл сказать, что ссылки у меня тоже несколько "с переводом", т.к. в оригинальном письме от ICANN они там немножко хитровывернутые. Я заходил по ссылке, а потом копировал адрес из браузера в письмо -- уж извините за такую неаккуратность. А внизу страницы по выше процитированной ссылке есть ссылка на упомянутую Сергеем утилиту.
-- Sergey
-- Taras Heychenko tasic@academ.kiev.ua
_______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
-- Taras Heychenko tasic@academ.kiev.ua
_______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
-- Taras Heychenko tasic@academ.kiev.ua