Dit is de gearchiveerde site van het DNSSEC Kennisplatform (2012-2018).
Actuele informatie over DNSSEC vind je op https://sidn.nl/dnssec/.

Root KSK roll-over uitgesteld

Gepubliceerd op 29-09-2017

Beheerders van validerende resolvers dringend aangeraden om hun trust anchors op te waarderen

Gisteren heeft ICANN bekend gemaakt het moment waarop de daadwerkelijke root KSK roll-over plaats zou vinden — 11 oktober aanstaande — tot nader order uit te stellen. De reden is dat naar verwachting een aanzienlijk aantal Internet-gebruikers die dag in de problemen zou zijn gekomen. Na de roll-over zijn namelijk alle Internet-domeinen onbereikbaar voor gebruikers van resolvers die nog niet van het nieuwe KSK-2017 trust anchor zijn voorzien.

Back out scenario

Hoewel dit natuurlijk een tegenvaller is, is in het roll-over proces rekening gehouden met een dergelijk 'back out scenario'. Naar schatting maken wereldwijd zo'n 750 miljoen mensen (een kwart van alle Internetters) gebruik van een DNSSEC -validerende resolver. De impact van het doorzetten van een roll-over waar de access providers en netwerkbeheerders technisch nog niet klaar voor zijn zou dan ook groot zijn.

Bij zijn beslissing heeft ICANN gebruik gemaakt van statistieken verzameld met het relatief nieuwe RFC 8145 protocol (key tag signaling). Daarmee kunnen validerende resolvers aan een server laten weten welke sleutels zij als trust anchor gebruiken bij het opbouwen van de chain of trust. Op die manier krijgen beheerders van ondertekende domeinen informatie van client-zijde over de voortgang van een key roll-over.

Volgens de meldingen die nu bij beheerders van de root servers binnen komen heeft meer dan 5 procent van de rapporterende resolvers alleen het KSK-2010 trust anchor aan boord. RFC 8145 wordt op dit moment echter alleen ondersteund door recente versies van BIND (9.10.5b1 en 9.11.0b3 en later) en Unbound (1.6.4 en later). Aan de andere kant blijken ook BIND-gebaseerde resolvers die niet valideren toch RFC 8145 berichten te versturen.

Hoe nu verder

Op dit moment onderzoekt ICANN samen met de technische Internet-gemeenschap waarom te veel van de validerende resolvers nog niet zijn voorzien van het nieuwe trust anchor.

Göran Marby, de directeur van ICANN, heeft de hoop uitgesproken dat de roll-over in het eerste kwartaal van volgend jaar alsnog plaats kan vinden, maar een nieuwe datum is nog niet bekendgemaakt.

Ondertussen raden wij beheerders van validerende resolvers dringend aan hun systemen up-to-date te brengen — voor zover zij dat nog niet gedaan hebben. De afgelopen maanden hebben we uitgebreid aandacht besteed aan de root KSK roll-over. Hieronder nog een keer een overzicht van de eerder gepubliceerde artikelen met alle technische en praktische informatie om bestaande validerende resolvers van het nieuwe trust anchor te voorzien:

Terug naar het nieuwsoverzicht