Перейти к содержимому
Калькуляторы

Помогите понять письмо от ICANN

Недавно получили письмо от ICANN с заголовком "Important DNSSEC information about unprepared DNS resolvers" и следующим содержимым:

Цитата

This message is a follow up to an initial message sent by ICANN on 21 August 2018 that contained an important announcement about the upcoming change, or "rollover", of the root zone DNSSEC key signing key (KSK) on 11 October 2018, as well as an invitation to participate in a survey to assess network operators' readiness for the root KSK rollover. (The original message is copied below.)

 

Our original email made reference to recursive resolvers in ASxxx that might not be prepared for the root KSK rollover but did not provide a list of the specific IP addresses we determined were associated with those resolvers. We apologize for this omission.

At the end of this message, please find a list of IP addresses from ASxxx that since 1 September 2017 have sent at least one RFC 8145 trust anchor configuration report indicating they were not configured with the new KSK.

 

...

Я не уверен, что правильно понял смысл письма.

Как я понял, недавно был отозван один из ключей DNSSEC и мне теперь нужно удалить его в своем ресолвере.

Или я что-то упустил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Старый ключ еще не отозван и будет использоваться до 11.10. Потом будет использован новый KSK, уже опубликованный в корне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То есть мне на своей стороне по сути ничего делать не нужно, кроме как обновить ключи?

Смущает, что в письме явно указывают мою AS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Письмо указывает на то, что в вашей сети были резолверы, репортящие рутовым серверам имеющиеся у них ключи KSK по RFC8145 и они не отрепортили KSK-2017, а только KSK-2010.

Так что да, не помешает проверить конфиги резолверов на предмет наличия всех ключей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если абонент у себя запустил резовлер, подходящий под критерий выше, то придёт на abuse-emailbox провайдера из RIPE-а(или куда там они шлют)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, ipaddr.ru сказал:

Письмо указывает на то, что в вашей сети были резолверы, репортящие рутовым серверам имеющиеся у них ключи KSK по RFC8145 и они не отрепортили KSK-2017, а только KSK-2010.

Странно, как они их нашли. Авторитетные серверы обслуживают только свою зону, а ресолверы принимают запросы только из своей сети, внешние запросы они отклоняют.

Спасибо, перепроверю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

пришла тут такая простыня... Э... ну да, адреса внешних IP у NAT пулов и несколько IP из пулов динамических прямых адресов.. куда это засунуть дальше, если там даже с датой непоянтно, когда на этом IP они это сняли, соотв даже предпложить кто из клиентоыв это был не представляется возможным..  полетело в помойку..

 

6 часов назад, s.lobanov сказал:

А если абонент у себя запустил резовлер, подходящий под критерий выше, то придёт на abuse-emailbox провайдера из RIPE-а(или куда там они шлют)?

провайдеру по базе РИПе..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 hours ago, alibek said:

Странно, как они их нашли

RFC8145, резолверы сами репортят наличие прописанных KSK в запросах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.