Re: [FRnOG] [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC
Bonjour Stephane Pour bind 9.8 et 9.9 (sur Debian), il n’y a pas d’options « rndc managed-keys » Il y a une version minimale de bind a avoir ? > Le 28 août 2018 à 11:38, Stephane Bortzmeyer a écrit : > > Il n'y aura probablement aucun problème pour les résolveurs DNS > sérieux mais il y a toujours des gens pas sérieux. L'ICANN a documenté > ce à quoi ils devront s'attendre. Vous vous souvenez d'Uma Thurman > dans la pub pour une boisson ? Ici, voici "what to expect": > > https://www.icann.org/news/announcement-2018-08-22-en > > Plus concrètement, votre résolveur devrait avoir la clé 19036 > (l'actuelle) et la 20326 (celle qui rentre en service le 11 > octobre). Pour vérifier : > > Avec Unbound, on affiche le fichier des clés (son emplacement dépend > de voitre configuration) : > > % cat /var/lib/unbound/root.key > ... > .172800INDNSKEY257 3 8 > AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kvArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+eoZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfdRUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwNR1AkUTV74bU= > ;{id = 20326 (ksk), size = 2048b} ;;state=2 [ VALID ] ;;count=0 > ;;lastchange=1502474052 ;;Fri Aug 11 19:54:12 2017 > .172800INDNSKEY257 3 8 > AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0= > ;{id = 19036 (ksk), size = 2048b} ;;state=2 [ VALID ] ;;count=0 > ;;lastchange=1404118431 ;;Mon Jun 30 10:53:51 2014 > > Ici, c'est bon, il y a les deux clés, en état VALID, et avec les > bonnes dates. > > Avec Knot Resolver : > > trust_anchors.keysets > > dans la console devrait vous montrer un tableau avec les deux clés. > > Avec BIND : > > % rndc managed-keys status > ... > name: . >keyid: 19036 >algorithm: RSASHA256 >flags: SEP >next refresh: Tue, 28 Aug 2018 17:18:31 GMT >trusted since: Mon, 24 Jul 2017 20:23:49 GMT >keyid: 20326 >algorithm: RSASHA256 >flags: SEP >next refresh: Tue, 28 Aug 2018 17:18:31 GMT >trusted since: Mon, 24 Jul 2017 20:23:49 GMT > > Parfait ici, il y a les deux clés. > > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC
Le 28 août 2018 à 15:16, Nico CARTRON a écrit : > et avec PowerDNS Recursor, ça se fait avec rec_control bien entendu: > > # rec_control get-tas > Configured Trust Anchors: > . > 19036 8 2 > 49aac11d7b6f6446702e54a1607371607a1a41855200fd2ce1cdde32f24e8fb5 > 20326 8 2 > e06d44b80b8f1d39a95c0b0d7c65d08458e880409bbc683457104237c7f8ec8d Et pour ceux qui utilisent le cache DNS d'un routeur Ubiquiti (dnsmasq) : @ubnt:~$ configure [edit] @ubnt# show service dns forwarding options options dnssec options trust-anchor=.,19036,8,2,49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5 options trust-anchor=.,20326,8,2,E06D44B80B8F1D39A95C0B0D7C65D08458E880409BBC683457104237C7F8EC8D options dnssec-check-unsigned -- Jonathan Leroy. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC
Hello, On 28-Aug-2018 11:38 CEST, wrote: > Il n'y aura probablement aucun problème pour les résolveurs DNS > sérieux mais il y a toujours des gens pas sérieux. L'ICANN a documenté > ce à quoi ils devront s'attendre. Vous vous souvenez d'Uma Thurman > dans la pub pour une boisson ? Ici, voici "what to expect": > > https://www.icann.org/news/announcement-2018-08-22-en > > Plus concrètement, votre résolveur devrait avoir la clé 19036 > (l'actuelle) et la 20326 (celle qui rentre en service le 11 > octobre). Pour vérifier : > > [...] et avec PowerDNS Recursor, ça se fait avec rec_control bien entendu: # rec_control get-tas Configured Trust Anchors: . 19036 8 2 49aac11d7b6f6446702e54a1607371607a1a41855200fd2ce1cdde32f24e8fb5 20326 8 2 e06d44b80b8f1d39a95c0b0d7c65d08458e880409bbc683457104237c7f8ec8d -- Nico --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC
Il n'y aura probablement aucun problème pour les résolveurs DNS sérieux mais il y a toujours des gens pas sérieux. L'ICANN a documenté ce à quoi ils devront s'attendre. Vous vous souvenez d'Uma Thurman dans la pub pour une boisson ? Ici, voici "what to expect": https://www.icann.org/news/announcement-2018-08-22-en Plus concrètement, votre résolveur devrait avoir la clé 19036 (l'actuelle) et la 20326 (celle qui rentre en service le 11 octobre). Pour vérifier : Avec Unbound, on affiche le fichier des clés (son emplacement dépend de voitre configuration) : % cat /var/lib/unbound/root.key ... . 172800 IN DNSKEY 257 3 8 AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kvArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+eoZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfdRUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwNR1AkUTV74bU= ;{id = 20326 (ksk), size = 2048b} ;;state=2 [ VALID ] ;;count=0 ;;lastchange=1502474052 ;;Fri Aug 11 19:54:12 2017 . 172800 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0= ;{id = 19036 (ksk), size = 2048b} ;;state=2 [ VALID ] ;;count=0 ;;lastchange=1404118431 ;;Mon Jun 30 10:53:51 2014 Ici, c'est bon, il y a les deux clés, en état VALID, et avec les bonnes dates. Avec Knot Resolver : trust_anchors.keysets dans la console devrait vous montrer un tableau avec les deux clés. Avec BIND : % rndc managed-keys status ... name: . keyid: 19036 algorithm: RSASHA256 flags: SEP next refresh: Tue, 28 Aug 2018 17:18:31 GMT trusted since: Mon, 24 Jul 2017 20:23:49 GMT keyid: 20326 algorithm: RSASHA256 flags: SEP next refresh: Tue, 28 Aug 2018 17:18:31 GMT trusted since: Mon, 24 Jul 2017 20:23:49 GMT Parfait ici, il y a les deux clés. --- Liste de diffusion du FRnOG http://www.frnog.org/