alibek Posted September 5, 2018 · Report post Недавно получили письмо от ICANN с заголовком "Important DNSSEC information about unprepared DNS resolvers" и следующим содержимым: Цитата This message is a follow up to an initial message sent by ICANN on 21 August 2018 that contained an important announcement about the upcoming change, or "rollover", of the root zone DNSSEC key signing key (KSK) on 11 October 2018, as well as an invitation to participate in a survey to assess network operators' readiness for the root KSK rollover. (The original message is copied below.) Our original email made reference to recursive resolvers in ASxxx that might not be prepared for the root KSK rollover but did not provide a list of the specific IP addresses we determined were associated with those resolvers. We apologize for this omission. At the end of this message, please find a list of IP addresses from ASxxx that since 1 September 2017 have sent at least one RFC 8145 trust anchor configuration report indicating they were not configured with the new KSK. ... Я не уверен, что правильно понял смысл письма. Как я понял, недавно был отозван один из ключей DNSSEC и мне теперь нужно удалить его в своем ресолвере. Или я что-то упустил? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ipaddr.ru Posted September 5, 2018 · Report post Старый ключ еще не отозван и будет использоваться до 11.10. Потом будет использован новый KSK, уже опубликованный в корне. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted September 5, 2018 · Report post То есть мне на своей стороне по сути ничего делать не нужно, кроме как обновить ключи? Смущает, что в письме явно указывают мою AS. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ipaddr.ru Posted September 5, 2018 · Report post Письмо указывает на то, что в вашей сети были резолверы, репортящие рутовым серверам имеющиеся у них ключи KSK по RFC8145 и они не отрепортили KSK-2017, а только KSK-2010. Так что да, не помешает проверить конфиги резолверов на предмет наличия всех ключей. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted September 5, 2018 · Report post А если абонент у себя запустил резовлер, подходящий под критерий выше, то придёт на abuse-emailbox провайдера из RIPE-а(или куда там они шлют)? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted September 5, 2018 · Report post 2 часа назад, ipaddr.ru сказал: Письмо указывает на то, что в вашей сети были резолверы, репортящие рутовым серверам имеющиеся у них ключи KSK по RFC8145 и они не отрепортили KSK-2017, а только KSK-2010. Странно, как они их нашли. Авторитетные серверы обслуживают только свою зону, а ресолверы принимают запросы только из своей сети, внешние запросы они отклоняют. Спасибо, перепроверю. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
st_re Posted September 5, 2018 · Report post пришла тут такая простыня... Э... ну да, адреса внешних IP у NAT пулов и несколько IP из пулов динамических прямых адресов.. куда это засунуть дальше, если там даже с датой непоянтно, когда на этом IP они это сняли, соотв даже предпложить кто из клиентоыв это был не представляется возможным.. полетело в помойку.. 6 часов назад, s.lobanov сказал: А если абонент у себя запустил резовлер, подходящий под критерий выше, то придёт на abuse-emailbox провайдера из RIPE-а(или куда там они шлют)? провайдеру по базе РИПе.. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ipaddr.ru Posted September 6, 2018 · Report post 10 hours ago, alibek said: Странно, как они их нашли RFC8145, резолверы сами репортят наличие прописанных KSK в запросах. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...