Néhány nap múlva jelentős esemény történik a DNS világban: 2018. október 11-én UTC szerint 16:00-kor megtörténik az első root KSK váltás! Ettől kezdve a . DNSKEY set csak az új KSK-val lesz aláírva. Biztosan lesznek gondok, hogy hol és mekkora az a DNS operátorokon múlik.
Az ICANN már tavaly bevezetett egy új KSK-t (KSK-2017, id=20326), és ezzel váltja ki a 2010. óta használatos KSK-2010-et (id=19036).
A validáló rekurzív DNS szerverek túlnyomó része felkészült a KSK váltásra, már az új KSK is ott van a trust anchor-jai között. Még mindig vannak azonban olyan validáló szerverek, amik csak a KSK-2010-ből indulnak ki ellenőrzéskor. Ezek között biztosan több magyarországi is van. Az ilyen rekurzív szervereket használó felhasználók és szerverek bajba kerülnek a KSK váltáskor: nem fog sikerülni a DNS nevek feloldása. A baj fokozatosan jelentkezik, ahogy a cache-ből kiesnek a régi rekordok. Ezért fontos, hogy minden rekurzív szerver üzemeltető ellenőrizze, hogy rendben van-e ebből a szempontból a rendszere. A javítás nem nehéz, de fontos!
További információ:
https://www.redhat.com/en/blog/what-you-need-know-about-first-ever-dnss…
https://www.icann.org/en/system/files/files/ksk-rollover-expect-17sep18…
https://www.icann.org/resources/pages/ksk-rollover
- 774 megtekintés