[FRnOG] [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC

Tue, 28 Aug 2018 02:39:59 -0700 

Il n'y aura probablement aucun problème pour les résolveurs DNS
sérieux mais il y a toujours des gens pas sérieux. L'ICANN a documenté
ce à quoi ils devront s'attendre. Vous vous souvenez d'Uma Thurman
dans la pub pour une boisson ? Ici, voici "what to expect":

https://www.icann.org/news/announcement-2018-08-22-en

Plus concrètement, votre résolveur devrait avoir la clé 19036
(l'actuelle) et la 20326 (celle qui rentre en service le 11
octobre). Pour vérifier :

Avec Unbound, on affiche le fichier des clés (son emplacement dépend
de voitre configuration) :

% cat /var/lib/unbound/root.key
...
.       172800  IN      DNSKEY  257 3 8 
AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kvArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+eoZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfdRUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwNR1AkUTV74bU=
 ;{id = 20326 (ksk), size = 2048b} ;;state=2 [  VALID  ] ;;count=0 
;;lastchange=1502474052 ;;Fri Aug 11 19:54:12 2017
.       172800  IN      DNSKEY  257 3 8 
AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
 ;{id = 19036 (ksk), size = 2048b} ;;state=2 [  VALID  ] ;;count=0 
;;lastchange=1404118431 ;;Mon Jun 30 10:53:51 2014

Ici, c'est bon, il y a les deux clés, en état VALID, et avec les
bonnes dates.

Avec Knot Resolver :

trust_anchors.keysets

dans la console devrait vous montrer un tableau avec les deux clés.

Avec BIND :

% rndc managed-keys status
...
name: .
    keyid: 19036
        algorithm: RSASHA256
        flags: SEP
        next refresh: Tue, 28 Aug 2018 17:18:31 GMT
        trusted since: Mon, 24 Jul 2017 20:23:49 GMT
    keyid: 20326
        algorithm: RSASHA256
        flags: SEP
        next refresh: Tue, 28 Aug 2018 17:18:31 GMT
        trusted since: Mon, 24 Jul 2017 20:23:49 GMT

Parfait ici, il y a les deux clés.




---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à