Root KSK roll-over hervat: 11 oktober gaan we alsnog over

ICANN heeft de roll-over van het root KSK-sleutelpaar hervat: op 11 oktober 2018 gaan we alsnog over. Dat betekent dat ICANN op dat moment het huidige cryptografische sleutelpaar dat de basis vormt voor de DNSSEC-infrastructuur (KSK-2010) vervangt door een nieuw sleutelpaar (KSK-2017).

Beheerders van DNSSEC-validerende resolvers moeten (nogmaals!) controleren of hun systemen inderdaad zijn voorzien van een goed werkend KSK-2017 trust anchor. Is een validerende resolver uiterlijk op 11 oktober 2018 niet van het nieuwe trust anchor voorzien, dan zijn vanaf dat moment alle internetdomeinen voor de gebruikers/applicaties van de betreffende resolver onbereikbaar. In de praktijk zal dat meestal wat later zijn, vanwege de TTL van 48 uur van de DNSKEY records opgeslagen in de cache.

ICANN zelf verwacht dat slechts een beperkt aantal gebruikers — minder dan 1 procent — last zal hebben van resolvers met een verouderde DNSSEC-configuratie.

Dringend!

In eerste instantie zou de roll-over van het root KSK-sleutelpaar een jaar geleden al plaatsvinden. Omdat men bang was dat een aanzienlijk aantal internetgebruikers die dag in de problemen zou komen, heeft ICANN de daadwerkelijke roll-over kort daarvoor uitgesteld. Inmiddels is de nieuwe datum voor de definitieve overgang vastgesteld op 11 oktober 2018, precies een jaar later dan in eerste instantie de bedoeling was.

Validerende resolvers die RFC 5011 ondersteunen zouden inmiddels de nieuwe publieke root KSK-sleutel als trust anchor geïnstalleerd en geactiveerd moeten hebben. Gebruik je nog software die RFC 5011 niet ondersteunt en je hebt het nieuwe trust anchor nog niet handmatig geïnstalleerd, dan is het absoluut de hoogste tijd om dat alsnog te doen. Sowieso is het belangrijk om de goede werking van het nieuwe trust anchor (nogmaals!) te controleren.

Meer informatie

Alle eerder gepubliceerde artikelen over de root KSK roll-over op een rij:

Daarnaast vind je in deze twee hands-on artikelen een uitgebreide beschrijving van de configuratie van BIND named en Infoblox appliances als validerende resolver, waaronder ook informatie specifiek over de installatie van het nieuwe trust anchor:

Reacties

  • woensdag 13 september 2017

    .nl-domeinnaam

    De ene extensie is de andere niet

    Thumb+statistics

    1,65 miljoen unieke websites actief

    Lees meer
  • maandag 1 oktober 2018

    Over SIDN

    Achterblijven implementatie IPv6 schaadt Nederlands innovatieklimaat

    Thumb-two-four-twelve

    Groei IPv6 noodzakelijk om investeringen en innovaties op gebied van IoT te behouden

    Lees meer
  • dinsdag 12 december 2017

    Kennis

    Win het boek www.wat? Met 70 vragen van kinderen over ’t internet!

    Boek-www-wat-banner

    Alles wat je altijd al wilde weten over het internet

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.