OpenDNSSEC versie 2.0 in beta uitgebracht
Gepubliceerd op 13-05-2016
Eerder deze maand verscheen versie 2.0 beta van OpenDNSSEC. Dit is de eerste grote release sinds NLnet Labs het volledige beheer van dit project op zich nam.
Belangrijkste vernieuwing is de herschreven Enforcer (verantwoordelijk voor het sleutelbeheer). Waar informatie voor roll-over scenario's voorheen uitgespecificeerd moest worden in de configuratie, is de nieuwe Enforcer intelligent genoeg om daarin zelf ook beslissingen te kunnen nemen. Dat maakt het mogelijk om:
- de TTL-waarden en andere instellingen in de Key And Signing Policy (KASP) te veranderen, waarna de Enforcer weet wanneer er veilig gerold kan worden;
- veilig over te gaan naar een niet-ondertekende toestand;
- op elk moment te rollen, ook als er al een roll-over in gang is gezet;
- over te gaan naar een ander cryptografisch DNSSEC algoritme;
- naast de pre-publicatie roll-over ook andere methoden te gebruiken, zoals 'double DS roll-over' en 'double RRSIG roll-over' (zie RFC 7583 voor de details).
Meer
Andere verbeteringen zijn:
- shared keys, waarmee meerdere zones van dezelfde sleutelparen gebruik kunnen maken;
- combined keys, waarmee de sleutels voor een zone niet langer zijn opgedeeld in een ZSK- en een KSK-paar;
- ondersteuning van niet-ondertekende zones in hetzelfde proces;
- de Enforcer daemon die nu alleen ontwaakt als er daadwerkelijk iets moet gebeuren, in plaats van periodiek;
- ondersteuning van meerdere Hardware Security Modules (HSM's), waarbij ook over sleutelparen in verschillende HSM's gerold kan worden;
- een Command Line Interface (CLI) voor de nieuwe Enforcer daemon.
OpenDNSSEC 2.0 beta kan gedownload worden van de project-website:
NLnet Labs geeft aan dat nieuwe releases elkaar voortaan sneller zullen op volgen.