Возвращаясь к старым письмам. Если кто не знает, то 17 сентября корневая зона была подписана новым KSK и с тех пор живет с двумя KSK ключами -- старым и новым. ICANN планировал 11 октября убрать из корня старый KSK и оставить только новый. Однако, как оказалось, до 8% резолверов, работающих на свежих версиях BIND и Unbound не обновили trust anchor и при переходе только на новый KSK работать перестанут. Это не говоря о резолверах, работающих на других версиях и вариантах ПО. Поэтому ICANN отложил KSK rollover. По предварительным оценкам на квартал.

On Jun 16, 2017, at 10:06, Taras Heychenko wrote:

...

On Jun 15, 2017, at 20:05, Sergey Myasoedov wrote:

Тарас,

Спасибо за напоминание. У меня только один комментарий.

...

- Оператор может сконфигурировать (установить) новый trust anchor вручную, получив новый KSK root зоны с сайта iana.org по адресу https://www.iana.org/dnssec/files

По этому адресу напрямую нельзя получить новый DNSKEY для корня. Надо ставить утилиту get-trust-anchor с гитхаба, и ей уже процессить данные ICANN.

Да, спасибо за комментарий. Забыл сказать, что ссылки у меня тоже несколько "с переводом", т.к. в оригинальном письме от ICANN они там немножко хитровывернутые. Я заходил по ссылке, а потом копировал адрес из браузера в письмо -- уж извините за такую неаккуратность. А внизу страницы по выше процитированной ссылке есть ссылка на упомянутую Сергеем утилиту.

...

-- Sergey

-- Taras Heychenko tasic@academ.kiev.ua

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Taras Heychenko tasic@academ.kiev.ua

On Sep 29, 2017, at 13:01, Sergey Myasoedov wrote:

Привет,

На самом деле 11 октября планировалось подписать корневую зону новым ключом, который уже три недели был опубликован в зоне.

Мне казалось, что сейчас зона подписана обоими ключами. Нужно проверить, будет ли работать, если оставить только новый trust anchor.

И тут ICANN испугался.

Удаление старого ключа (2010 года) планировалось ближе к концу года.

Лично для меня новостью стал апрельский RFC 8145, который был немедленно имплементирован в bind и unbound.

Видимо решили, что если не проверить готовность, то шкаф может упасть слишком громко?

-- Sergey

...

On 29 Sep 2017, at 09:47, Taras Heichenko wrote:

Возвращаясь к старым письмам.

Если кто не знает, то 17 сентября корневая зона была подписана новым KSK и с тех пор живет с двумя KSK ключами -- старым и новым. ICANN планировал 11 октября убрать из корня старый KSK и оставить только новый. Однако, как оказалось, до 8% резолверов, работающих на свежих версиях BIND и Unbound не обновили trust anchor и при переходе только на новый KSK работать перестанут. Это не говоря о резолверах, работающих на других версиях и вариантах ПО. Поэтому ICANN отложил KSK rollover. По предварительным оценкам на квартал.

...

On Jun 16, 2017, at 10:06, Taras Heychenko wrote:

...

On Jun 15, 2017, at 20:05, Sergey Myasoedov wrote:

Тарас,

Спасибо за напоминание. У меня только один комментарий.

...

- Оператор может сконфигурировать (установить) новый trust anchor вручную, получив новый KSK root зоны с сайта iana.org по адресу https://www.iana.org/dnssec/files

По этому адресу напрямую нельзя получить новый DNSKEY для корня. Надо ставить утилиту get-trust-anchor с гитхаба, и ей уже процессить данные ICANN.

Да, спасибо за комментарий. Забыл сказать, что ссылки у меня тоже несколько "с переводом", т.к. в оригинальном письме от ICANN они там немножко хитровывернутые. Я заходил по ссылке, а потом копировал адрес из браузера в письмо -- уж извините за такую неаккуратность. А внизу страницы по выше процитированной ссылке есть ссылка на упомянутую Сергеем утилиту.

...

-- Sergey

-- Taras Heychenko tasic@academ.kiev.ua

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Taras Heychenko tasic@academ.kiev.ua

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Taras Heychenko tasic@academ.kiev.ua

Макс, в рамках борьбы с тем, что ты называешь цензурой, как раз и надо развивать DNSSEC. Так шо прекрати фантазировать и начни делать ;-) -- /doka, on the run

On Jun 15, 2017, at 22:52, Max Tulyev wrote:

Hi!

Напомню, что у нас в стране есть цензура, в том числе и по DNS, которая с DNSSEC как правило не совместима. Так что забейте на развитие DNSSEC в Украине, как минимум, до следующего Майдана.

...

On 15.06.17 19:37, Taras Heychenko wrote: Hi! Статистика говорит, что в Украине DNSSEC используется не очень активно. Тем не менее в мире оно распространено чуть шире, и у многих провайдров может стоять валидирующий резолвер, который проверяет DNSSEC. Приведу здесь перевод письма от ICANN, посвященный предотвращению последствий по смене KSK ключа в рутовой зоне. Лучше проверить заранее. P.S. Извините за кривоватый местами перевод -- художественная ценность не была целью. ;)

========================================================= Добрый день,

ICANN предлагает тестовую платформу для операторов сети и других заинтересованных сторон, позволяющую убедиться что ваши системы правильно отработают процесс автоматического обновления предстоящей смены Key Signing Key (KSK) Root Zone Domain Name System Security Extension. На текущий момент смена KSK запланирована на 11 октября 2017 года.

"На сейчас семь с половиной миллиардов людей используют DNSSEC валидирующие резолверы, на которые может повлиять смена KSK", заявил вице президент ICANN по исследовательской деятельности Мэтт Ларсон (Matt Larson). "Тестовая платформа -- простой способ для операторов определиться, что их инфраструктура поддерживает способность обработать смену KSK без ручного вмешательства."

Интернет сервис провайдеры, операторы сети и остальные участники сети, у кого включена валидация DNSSEC должны обновить свои системы с новым KSK. Это может быть сделано одним из двух способов:

- Оператор может сконфигурировать (установить) новый trust anchor вручную, получив новый KSK root зоны с сайта iana.org по адресу https://www.iana.org/dnssec/files - Оператор может включить опцию, доступную во многих валидирующих резолверах, которая позволяет автоматически определить и сконфигурировать (установить) новый KSK root зоны в качестве trust anchor, и в этом случае никаких дополнительных действие не требуется.

Проверьте, готова ли ваша система, по адресу https://automated-ksk-test.research.icann.org/

KSK широко распространен и установлен каждым оператором, выполняющим DNSSEC валидацию. Если у резолвера, валидирующего DNSSEC после смены KSK не будет установлен новый KSK, конечные пользователи, использующие данные резолвер будут получать ошибки и испытывать проблемы с доступом в Интернет. Тщательность и скоординированные усилия необходимы для того, чтобы обновление не повлияло на нормальную деятельность.

Больше информации доступно по адресу https://www.icann.org/resources/pages/ksk-rollover =========================================================

-- Taras Heychenko tasic@academ.kiev.ua

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog