Jump to content
Калькуляторы

Помогите понять письмо от ICANN

Недавно получили письмо от ICANN с заголовком "Important DNSSEC information about unprepared DNS resolvers" и следующим содержимым:

Цитата

This message is a follow up to an initial message sent by ICANN on 21 August 2018 that contained an important announcement about the upcoming change, or "rollover", of the root zone DNSSEC key signing key (KSK) on 11 October 2018, as well as an invitation to participate in a survey to assess network operators' readiness for the root KSK rollover. (The original message is copied below.)

 

Our original email made reference to recursive resolvers in ASxxx that might not be prepared for the root KSK rollover but did not provide a list of the specific IP addresses we determined were associated with those resolvers. We apologize for this omission.

At the end of this message, please find a list of IP addresses from ASxxx that since 1 September 2017 have sent at least one RFC 8145 trust anchor configuration report indicating they were not configured with the new KSK.

 

...

Я не уверен, что правильно понял смысл письма.

Как я понял, недавно был отозван один из ключей DNSSEC и мне теперь нужно удалить его в своем ресолвере.

Или я что-то упустил?

Share this post


Link to post
Share on other sites

Старый ключ еще не отозван и будет использоваться до 11.10. Потом будет использован новый KSK, уже опубликованный в корне.

Share this post


Link to post
Share on other sites

То есть мне на своей стороне по сути ничего делать не нужно, кроме как обновить ключи?

Смущает, что в письме явно указывают мою AS.

Share this post


Link to post
Share on other sites

Письмо указывает на то, что в вашей сети были резолверы, репортящие рутовым серверам имеющиеся у них ключи KSK по RFC8145 и они не отрепортили KSK-2017, а только KSK-2010.

Так что да, не помешает проверить конфиги резолверов на предмет наличия всех ключей.

Share this post


Link to post
Share on other sites

А если абонент у себя запустил резовлер, подходящий под критерий выше, то придёт на abuse-emailbox провайдера из RIPE-а(или куда там они шлют)?

Share this post


Link to post
Share on other sites
2 часа назад, ipaddr.ru сказал:

Письмо указывает на то, что в вашей сети были резолверы, репортящие рутовым серверам имеющиеся у них ключи KSK по RFC8145 и они не отрепортили KSK-2017, а только KSK-2010.

Странно, как они их нашли. Авторитетные серверы обслуживают только свою зону, а ресолверы принимают запросы только из своей сети, внешние запросы они отклоняют.

Спасибо, перепроверю.

Share this post


Link to post
Share on other sites

пришла тут такая простыня... Э... ну да, адреса внешних IP у NAT пулов и несколько IP из пулов динамических прямых адресов.. куда это засунуть дальше, если там даже с датой непоянтно, когда на этом IP они это сняли, соотв даже предпложить кто из клиентоыв это был не представляется возможным..  полетело в помойку..

 

6 часов назад, s.lobanov сказал:

А если абонент у себя запустил резовлер, подходящий под критерий выше, то придёт на abuse-emailbox провайдера из RIPE-а(или куда там они шлют)?

провайдеру по базе РИПе..

Share this post


Link to post
Share on other sites
10 hours ago, alibek said:

Странно, как они их нашли

RFC8145, резолверы сами репортят наличие прописанных KSK в запросах.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now