Rollover de KSK 2017: ¿Cómo me puedo preparar?

Revise si su resolvedor ya posee la nueva llave

Debe verificar si su resolvedor ya tiene las dos llaves raíz en su almacén de anclas (root.key, named.root.key, etc). Puede verificar en el sitio web de IANA las llaves oficiales.

Si no están, no se preocupe. Aún hay tiempo antes del momento importante. Si su resolvedor tiene un software con soporte y lo actualiza habitualmente, recibirá la nueva llave dentro de la distribución del paquete. O por último, si su resolvedor tiene soporte a rollover automático, lo hará a su debido tiempo. De todas formas se recomiendan las siguientes pruebas:

Revisar su versión de servidor DNS

  • Si es Bind, que sea superior a 9.8 (más información)
    • si tiene la variable “dnssec-validation” con el valor “auto”, la llave debiera aparecer en el almacén automáticamente (dependiendo de la distribución el almacén de llaves puede variar, por ejemplo /var/cache/bind/managed-keys.bind )
      También puede obligar a Bind a entregar una copia de sus llaves raíz con el comando “rndc secroots”. Eso genera un archivo “named.secroots” en su directorio base, el que puede inspeccionar si posee la llave id “20326”.
  • Microsoft Server desde Windows Server 2012 (más información)
  • Unbound desde versión 1.4.0 tiene soporte automático pero se debe activar (más información)
  • PowerDNS no tiene soporte para rollover automático, se debe hacer manualmente (más información)

Participar en testbed de rollover automático

ICANN construyó un ambiente de pruebas que le permite simular en pocas semanas un rollover de KSK tal como será el real. Al participar podrá configurar sus resolvedores con una zona especial controlada por ICANN, y verificar el correcto funcionamiento de la rotación automática.

Si su resolvedor no soporta rollover automático, o está offline

Si su resolvedor no soporta rollover automático, o bien está apagado (o desconectado) durante el tiempo que dure el rollover; debe revisar si su archivo de llaves de ancla de la raíz tiene la nueva KSK. Si lo mantiene con las últimas versiones de software, es posible que se haya actualizado durante algún upgrade. Pero si no es así, debe agregar la nueva llave a mano.

 

Set de herramientas útiles

 

 

Volver a Índice Rollover KSK 2017