Nyckelrullningen av KSK var planerad att genomföras den 11:e oktober, men har blivit uppskjuten på grund av att ny information visar att nätverksoperatörer inte är redo för nyckelrullningen. För aktuell information se här: https://www.icann.org/news/announcement-2017-09-27-en
Under 2017 kommer ICANN göra ett byte av KSK för root zonen (.) vilket kommer innebära förändringar för DNSSEC. För DNS system som inte aktivt använder RFC5011 protokollet betyder det att Trust Anchors för root måste uppdateras innan den nya nyckeln börjar användas för signering.
Den nya KSK nyckeln publicerades 11:e Juli 2017 och den 11:e oktober skulle den nya KSK användas för signering av root-nycklarna. Detta datum är alltså uppskjutet. Det innebär att för system som använder RFC5011 behöver den nya nyckeln ha laddats ned och validerats snarast då den har en 30 dagars så kallad Add Hold Down.
Om RFC5011 managed-keys inte används utan den statiska konfigurationen med trusted-keys, är det starkt rekommenderat att byta till managed-keys för att få en automatisk hantering av åtminstone root nyckelmaterialet. Detta bör göras snarast för att säkerställa att systemet lyckas initieras med de gamla nycklarna. Är det inte möjligt att använda managed-keys behöver Trust Anchors manuellt uppdateras innan nyckelrullningen för att undvika avbrott i tjänsten.
Länkar för ytterligare information nyckelrullningen:
https://indico.dns-oarc.net/event/25/session/2/contribution/11/material/slides/0.pdf
https://kb.isc.org/article/AA-01525/30/Root-KSK-Rollover-in-BIND.html
https://www.isc.org/blogs/2017-root-key-rollover-what-does-it-mean-for-bind-users/
RFC5011:
https://tools.ietf.org/html/rfc5011
DNSSEC:
https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
Kontakta Certezza Support vid frågor,
E-post: support@certezza.net
Telefon: 08-791 92 00
Fredrik Hultberg
