Automatische installatie nieuwe DNSSEC trust anchor
Gepubliceerd op 24-07-2017
De meeste software voor DNSSEC -validerende resolvers ondersteunt inmiddels RFC 5011. Dat betekent dat deze resolvers in staat zijn om automatisch de nieuwe publieke root KSK-sleutel als trust anchor te installeren.
Hoewel RFC 5011 ontwikkeld is om (root) KSK roll-overs zonder tussenkomst van de systeembeheerder te laten verlopen, is het belangrijk om te controleren of de huidige installatie/configuratie van je resolvers inderdaad de automatische installatie van het nieuwe trust anchor ondersteunt. Is een validerende resolver uiterlijk op 11 oktober 2017 niet van het nieuwe trust anchor voorzien, dan zijn vanaf dat moment alle internet-domeinen voor de gebruikers/applicaties van de betreffende resolver onbereikbaar.
In een eerder artikel beschreven we de verschillende manieren waarop beheerders van validerende resolvers het nieuwe trust anchor op hun systemen kunnen installeren, gevolgd door specifieke informatie voor verschillende resolver software-pakketten.
In dit artikel bespreken we RFC 5011 en geven we een overzicht van de ondersteuning door de meest gebruikte resolvers. In een follow-up artikel laten we zien hoe je de goede werking van het nieuwe trust anchor kunt testen.