Přesně podle plánu byl dnes v 18:00 CEST vyměněn podpis DNSKEY záznamu kořenové zóny. Byl tím dokončen přechod z klíče s identifikátorem 19036 z roku 2010 na nový klíč 20326 z loňského roku.
$ dig . dnskey +dnssec @k.root-servers.net | grep RRSIG . 172800 IN RRSIG DNSKEY 8 0 172800 20181101000000 20181011000000 20326…
Doba životnosti záznamu je 48 hodin. Validující DNS resolvery, které doposud nezískaly důvěru v nový klíč, do této doby přestanou fungovat. Pravděpodobně jich bude naprosté minimum, drtivá většina validátorů se nový klíč naučila na začátku srpna loňského roku.
Nadace NLnet Labs připravila na svých stránkách živý přenos přechodu na nový klíč z více než deseti tisíc sond RIPE Atlas. Je tak možné sledovat, jak se změna postupně projeví u koncových uživatelů.
Boom! We have a new #DNSSEC Root Key Signing Key (KSK) . The #KSKRollover / #KSKRoll / #Keyroll has now taken place. Congrats to all involved! pic.twitter.com/9iFAElxL1x
— Dan York (@danyork) October 11, 2018
