Root KSK roll-over hervat: 11 oktober gaan we alsnog over

ICANN heeft de roll-over van het root KSK-sleutelpaar hervat: op 11 oktober 2018 gaan we alsnog over. Dat betekent dat ICANN op dat moment het huidige cryptografische sleutelpaar dat de basis vormt voor de DNSSEC-infrastructuur (KSK-2010) vervangt door een nieuw sleutelpaar (KSK-2017).

Beheerders van DNSSEC-validerende resolvers moeten (nogmaals!) controleren of hun systemen inderdaad zijn voorzien van een goed werkend KSK-2017 trust anchor. Is een validerende resolver uiterlijk op 11 oktober 2018 niet van het nieuwe trust anchor voorzien, dan zijn vanaf dat moment alle internetdomeinen voor de gebruikers/applicaties van de betreffende resolver onbereikbaar. In de praktijk zal dat meestal wat later zijn, vanwege de TTL van 48 uur van de DNSKEY records opgeslagen in de cache.

ICANN zelf verwacht dat slechts een beperkt aantal gebruikers — minder dan 1 procent — last zal hebben van resolvers met een verouderde DNSSEC-configuratie.

Dringend!

In eerste instantie zou de roll-over van het root KSK-sleutelpaar een jaar geleden al plaatsvinden. Omdat men bang was dat een aanzienlijk aantal internetgebruikers die dag in de problemen zou komen, heeft ICANN de daadwerkelijke roll-over kort daarvoor uitgesteld. Inmiddels is de nieuwe datum voor de definitieve overgang vastgesteld op 11 oktober 2018, precies een jaar later dan in eerste instantie de bedoeling was.

Validerende resolvers die RFC 5011 ondersteunen zouden inmiddels de nieuwe publieke root KSK-sleutel als trust anchor geïnstalleerd en geactiveerd moeten hebben. Gebruik je nog software die RFC 5011 niet ondersteunt en je hebt het nieuwe trust anchor nog niet handmatig geïnstalleerd, dan is het absoluut de hoogste tijd om dat alsnog te doen. Sowieso is het belangrijk om de goede werking van het nieuwe trust anchor (nogmaals!) te controleren.

Meer informatie

Alle eerder gepubliceerde artikelen over de root KSK roll-over op een rij:

Daarnaast vind je in deze twee hands-on artikelen een uitgebreide beschrijving van de configuratie van BIND named en Infoblox appliances als validerende resolver, waaronder ook informatie specifiek over de installatie van het nieuwe trust anchor:

Reacties

  • woensdag 27 maart 2019

    Kennis

    Meld je aan voor het SIDN Panel!

    SIDN-panel-man-social-thumbnail

    Geef jouw mening over internet of internetgebruik.

    Lees meer
  • dinsdag 27 maart 2018

    .nl-domeinnaam

    Wat is het geheim van een echte topwebsite?

    iStock-624124442-man-blij-achter-laptop-thumbnail

    Check de 5 belangrijkste tips

    Lees meer
  • donderdag 21 februari 2019

    Veilig internet

    Denk mee over het internet, internetgebruik, veiligheid, privacy en domeinnamen

    SIDN-panel-dame-thumbnail

    Meld je aan voor het SIDN Panel!

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.