Root KSK roll-over hervat: 11 oktober gaan we alsnog over

ICANN heeft de roll-over van het root KSK-sleutelpaar hervat: op 11 oktober 2018 gaan we alsnog over. Dat betekent dat ICANN op dat moment het huidige cryptografische sleutelpaar dat de basis vormt voor de DNSSEC-infrastructuur (KSK-2010) vervangt door een nieuw sleutelpaar (KSK-2017).

Beheerders van DNSSEC-validerende resolvers moeten (nogmaals!) controleren of hun systemen inderdaad zijn voorzien van een goed werkend KSK-2017 trust anchor. Is een validerende resolver uiterlijk op 11 oktober 2018 niet van het nieuwe trust anchor voorzien, dan zijn vanaf dat moment alle internetdomeinen voor de gebruikers/applicaties van de betreffende resolver onbereikbaar. In de praktijk zal dat meestal wat later zijn, vanwege de TTL van 48 uur van de DNSKEY records opgeslagen in de cache.

ICANN zelf verwacht dat slechts een beperkt aantal gebruikers — minder dan 1 procent — last zal hebben van resolvers met een verouderde DNSSEC-configuratie.

Dringend!

In eerste instantie zou de roll-over van het root KSK-sleutelpaar een jaar geleden al plaatsvinden. Omdat men bang was dat een aanzienlijk aantal internetgebruikers die dag in de problemen zou komen, heeft ICANN de daadwerkelijke roll-over kort daarvoor uitgesteld. Inmiddels is de nieuwe datum voor de definitieve overgang vastgesteld op 11 oktober 2018, precies een jaar later dan in eerste instantie de bedoeling was.

Validerende resolvers die RFC 5011 ondersteunen zouden inmiddels de nieuwe publieke root KSK-sleutel als trust anchor geïnstalleerd en geactiveerd moeten hebben. Gebruik je nog software die RFC 5011 niet ondersteunt en je hebt het nieuwe trust anchor nog niet handmatig geïnstalleerd, dan is het absoluut de hoogste tijd om dat alsnog te doen. Sowieso is het belangrijk om de goede werking van het nieuwe trust anchor (nogmaals!) te controleren.

Meer informatie

Alle eerder gepubliceerde artikelen over de root KSK roll-over op een rij:

Daarnaast vind je in deze twee hands-on artikelen een uitgebreide beschrijving van de configuratie van BIND named en Infoblox appliances als validerende resolver, waaronder ook informatie specifiek over de installatie van het nieuwe trust anchor:

Reacties

  • maandag 4 februari 2019

    Over SIDN

    IPv6 sleutelfactor voor het Internet of Things

    Thum-smart-city

    Nederland dreigt boot te missen

    Lees meer
  • woensdag 29 mei 2019

    Veilig internet

    Veilige websites in grote organisaties: hou het overzicht

    Thumb-protected-access

    Over de risico’s voor grote organisaties met een versnipperd domeinnaamportfolio

    Lees meer
  • donderdag 25 juli 2019

    Veilig internet

    Van mailadres veranderen? Zo doe je dat op een zorgvuldige manier!

    van mailadres veranderen

    Deze 5 tips helpen je erbij

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.