root KSK váltás, KSK-2017 (id=20326), KSK-2010 (id=19036)

Root KSK váltás, .hu Nyilvántartó közleménye:

Néhány nap múlva jelentős esemény történik a DNS világában: 2018. október 11-én
UTC szerint 16:00-kor megtörténik az első root KSK váltás! Ettől kezdve a
. (root) DNSKEY set csak az új KSK-val lesz aláírva.

Az ICANN már tavaly bevezetett egy új KSK-t (KSK-2017, id=20326), és ezzel
váltja ki a 2010 óta használatos KSK-2010-et (id=19036).

A validáló rekurzív DNS szerverek túlnyomó része felkészült a KSK váltásra, már
az új KSK is ott van a trust anchor-jai között. Még mindig vannak azonban olyan
validáló szerverek, amik csak a KSK-2010-ből indulnak ki ellenőrzéskor. Az
ilyen rekurzív szervereket használó felhasználók és szerverek bajba kerülnek a
KSK váltáskor: nem fog sikerülni a DNS nevek feloldása. A baj fokozatosan
jelentkezik, ahogy a cache-ből kiesnek a régi rekordok. Ezért *fontos*, hogy
minden rekurzív szerver üzemeltető ellenőrizze, hogy rendben van-e ebből a
szempontból a rendszere. A javítás nem nehéz, de fontos!

További információ:

https://www.redhat.com/en/blog/what-you-need-know-about-first-ever-dnssec-root-key-rollover-october-11-2018
https://www.icann.org/en/system/files/files/ksk-rollover-expect-17sep18-en.pdf
https://www.icann.org/resources/pages/ksk-rollover

Az ICANN közzétett egy IP cím és AS listát is, amin olyan névszerver üzemel,
amiről biztosan lehet tudni, hogy nem készült fel a váltásra:
http://root-trust-anchor-reports.research.icann.org/rfc8145-addresses.txt

Ha valaki saját vagy ügyfele IP címét ott megtalálja, akkor érdemes mielőbb
intézkednie.

Reméljük, hogy az átállás problémamentes lesz mindenkinél.
.hu Nyilvántartó