Root KSK roll-over hervat: 11 oktober gaan we alsnog over

ICANN heeft de roll-over van het root KSK-sleutelpaar hervat: op 11 oktober 2018 gaan we alsnog over. Dat betekent dat ICANN op dat moment het huidige cryptografische sleutelpaar dat de basis vormt voor de DNSSEC-infrastructuur (KSK-2010) vervangt door een nieuw sleutelpaar (KSK-2017).

Beheerders van DNSSEC-validerende resolvers moeten (nogmaals!) controleren of hun systemen inderdaad zijn voorzien van een goed werkend KSK-2017 trust anchor. Is een validerende resolver uiterlijk op 11 oktober 2018 niet van het nieuwe trust anchor voorzien, dan zijn vanaf dat moment alle internetdomeinen voor de gebruikers/applicaties van de betreffende resolver onbereikbaar. In de praktijk zal dat meestal wat later zijn, vanwege de TTL van 48 uur van de DNSKEY records opgeslagen in de cache.

ICANN zelf verwacht dat slechts een beperkt aantal gebruikers — minder dan 1 procent — last zal hebben van resolvers met een verouderde DNSSEC-configuratie.

Dringend!

In eerste instantie zou de roll-over van het root KSK-sleutelpaar een jaar geleden al plaatsvinden. Omdat men bang was dat een aanzienlijk aantal internetgebruikers die dag in de problemen zou komen, heeft ICANN de daadwerkelijke roll-over kort daarvoor uitgesteld. Inmiddels is de nieuwe datum voor de definitieve overgang vastgesteld op 11 oktober 2018, precies een jaar later dan in eerste instantie de bedoeling was.

Validerende resolvers die RFC 5011 ondersteunen zouden inmiddels de nieuwe publieke root KSK-sleutel als trust anchor geïnstalleerd en geactiveerd moeten hebben. Gebruik je nog software die RFC 5011 niet ondersteunt en je hebt het nieuwe trust anchor nog niet handmatig geïnstalleerd, dan is het absoluut de hoogste tijd om dat alsnog te doen. Sowieso is het belangrijk om de goede werking van het nieuwe trust anchor (nogmaals!) te controleren.

Meer informatie

Alle eerder gepubliceerde artikelen over de root KSK roll-over op een rij:

Daarnaast vind je in deze twee hands-on artikelen een uitgebreide beschrijving van de configuratie van BIND named en Infoblox appliances als validerende resolver, waaronder ook informatie specifiek over de installatie van het nieuwe trust anchor:

Reacties

  • maandag 30 oktober 2017

    Kennis

    Al 900 Rotterdamse basisschoolleerlingen leerden programmeren

    Thumb-kids-programmeren

    Leren om gestructureerd te denken

    Lees meer
  • maandag 26 februari 2018

    SIDN Labs

    Anycastnetwerk van .nl verder uitgebreid

    Thumb-CIRA

    DNS-capaciteit .nl uitgebreid met dienst van Canadese registry

    Lees meer
  • dinsdag 3 oktober 2017

    Over SIDN

    Keyrelay: verhuizen met behoud van de DNSSEC-keten

    Rik+Ribbers+17-11-2015_075

    Een door SIDN ontwikkelde internetstandaard

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.