Hlavní navigace

Nový klíč kořenové zóny zveřejněn v DNS

11. 7. 2017

Sdílet

Přesně podle plánu byl dnes publikován nový KSK klíč kořenové DNS zóny. Historicky první výměna KSK klíčů kořenové zóny tak pokročila do další fáze.

$ dig +multi . dnskey @k.root-servers.net
…
. 172800 IN DNSKEY 257 3 8 (
          AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTO
          iW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOLAJr5emLvN
          7SWXgnLh4+B5xQlNVz8Og8kvArMtNROxVQuCaSnIDdD5
          LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF0jLHwVN8
          efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7
          pr+eoZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLY
          A4/ilBmSVIzuDWfdRUfhHdY6+cn8HFRm+2hM8AnXGXws
          9555KrUB5qihylGa8subX2Nn6UwNR1AkUTV74bU=
          ) ; KSK; alg = RSASHA256 ; key id = 20326
.  172800 IN DNSKEY 257 3 8 (
          AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ
          bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh
          /RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA
          JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp
          oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3
          LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO
          Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc
          LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
          ) ; KSK; alg = RSASHA256 ; key id = 19036

Klíč s id = 20326  byl vygenerován v únoru a během října nahradí vůbec první a stále platný kořenový klíč s id = 19036. Od tohoto okamžiku běží 30denní lhůta, během které budou všechny DNSSEC validátory podporující RFC 5011 sledovat stabilitu nově přidaného klíče. Pokud se po celou dobu nezmění, bude kolem 10. srpna ve validátorech uložen jako nový pevný bod důvěry, takže bude možné starý klíč opustit.

K vlastnímu přechodu na používání nového klíče má dojít 11. října, tedy dva měsíce poté, co by se měl stát důvěryhodným. V tomto období by tedy správci měli zkontrolovat, zda opravdu došlo k uložení nového klíče do úložiště pevných bodů důvěry. U serveru BIND se úložiště typicky nachází v souboru /var/cache/bind/managed-keys.bind , u serveru Unbound pak v /var/lib/unbound/root.key :

# cat /var/lib/unbound/root.key
; autotrust trust anchor file
;;id: . 1
;;last_queried: 1499792083 ;;Tue Jul 11 18:54:43 2017
;;last_success: 1499792083 ;;Tue Jul 11 18:54:43 2017
;;next_probe_time: 1499835142 ;;Wed Jul 12 06:52:22 2017
;;query_failed: 0
;;query_interval: 43200
;;retry_time: 8640
.       172800  IN      DNSKEY  257 3 8 AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kvArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+eoZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfdRUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwNR1AkUTV74bU= ;{id = 20326 (ksk), size = 2048b} ;;state=1 [ ADDPEND ] ;;count=1 ;;lastchange=1499792083 ;;Tue Jul 11 18:54:43 2017
.       172800  IN      DNSKEY  257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0= ;{id = 19036 (ksk), size = 2048b} ;;state=2 [  VALID  ] ;;count=0 ;;lastchange=1375720151 ;;Mon Aug  5 18:29:11 2013

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 12. 7. 2017 12:54

    nextsux

    pokud v bindu neajdete onen soubor :)


    # rndc managed-keys status

    zde byste meli najit

    keyid: 20326
    algorithm: RSASHA256
    flags: SEP
    next refresh: Thu, 13 Jul 2017 10:45:05 GMT
    trust pending: Thu, 10 Aug 2017 17:30:49 GMT

  • 13. 7. 2017 18:16

    Marek Knápek

    > ... během které budou všechny DNSSEC validátory podporující ...

    Nemělo by tam spíše být DNSSEC podporující resolvery (místo validátory)?

  • 14. 7. 2017 12:40

    Ondřej Caletka

    Validovat nemusí jen resolver. Navíc ta komponenta resolveru, která provádí validaci, se jmenuje validátor.

Byl pro vás článek přínosný?

Autor zprávičky