Jump to content

Помогите понять письмо от ICANN

alibek
 Share

Recommended Posts

alibek

alibek

Posted
Posted

Недавно получили письмо от ICANN с заголовком "Important DNSSEC information about unprepared DNS resolvers" и следующим содержимым:

Цитата

This message is a follow up to an initial message sent by ICANN on 21 August 2018 that contained an important announcement about the upcoming change, or "rollover", of the root zone DNSSEC key signing key (KSK) on 11 October 2018, as well as an invitation to participate in a survey to assess network operators' readiness for the root KSK rollover. (The original message is copied below.)

 

Our original email made reference to recursive resolvers in ASxxx that might not be prepared for the root KSK rollover but did not provide a list of the specific IP addresses we determined were associated with those resolvers. We apologize for this omission.

At the end of this message, please find a list of IP addresses from ASxxx that since 1 September 2017 have sent at least one RFC 8145 trust anchor configuration report indicating they were not configured with the new KSK.

 

...

Я не уверен, что правильно понял смысл письма.

Как я понял, недавно был отозван один из ключей DNSSEC и мне теперь нужно удалить его в своем ресолвере.

Или я что-то упустил?

alibek

alibek

Posted
  • Author
Posted

То есть мне на своей стороне по сути ничего делать не нужно, кроме как обновить ключи?

Смущает, что в письме явно указывают мою AS.

ipaddr.ru

ipaddr.ru

Posted
Posted

Письмо указывает на то, что в вашей сети были резолверы, репортящие рутовым серверам имеющиеся у них ключи KSK по RFC8145 и они не отрепортили KSK-2017, а только KSK-2010.

Так что да, не помешает проверить конфиги резолверов на предмет наличия всех ключей.

alibek

alibek

Posted
  • Author
Posted
2 часа назад, ipaddr.ru сказал:

Письмо указывает на то, что в вашей сети были резолверы, репортящие рутовым серверам имеющиеся у них ключи KSK по RFC8145 и они не отрепортили KSK-2017, а только KSK-2010.

Странно, как они их нашли. Авторитетные серверы обслуживают только свою зону, а ресолверы принимают запросы только из своей сети, внешние запросы они отклоняют.

Спасибо, перепроверю.

st_re

st_re

Posted
Posted

пришла тут такая простыня... Э... ну да, адреса внешних IP у NAT пулов и несколько IP из пулов динамических прямых адресов.. куда это засунуть дальше, если там даже с датой непоянтно, когда на этом IP они это сняли, соотв даже предпложить кто из клиентоыв это был не представляется возможным..  полетело в помойку..

 

6 часов назад, s.lobanov сказал:

А если абонент у себя запустил резовлер, подходящий под критерий выше, то придёт на abuse-emailbox провайдера из RIPE-а(или куда там они шлют)?

провайдеру по базе РИПе..

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.