subject:"\[FRnOG\] \[TECH\] \[DNS\] \[Uma Thurman\] Rappel \: le 11 octobre, on change de clé DNSSEC"

Re: [FRnOG] [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC

2018-08-28 Par sujet Guillaume Tournat

Bonjour Stephane

Pour bind 9.8 et 9.9 (sur Debian), il n’y a pas d’options « rndc managed-keys »

Il y a une version minimale de bind a avoir ?



> Le 28 août 2018 à 11:38, Stephane Bortzmeyer  a écrit :
> 
> Il n'y aura probablement aucun problème pour les résolveurs DNS
> sérieux mais il y a toujours des gens pas sérieux. L'ICANN a documenté
> ce à quoi ils devront s'attendre. Vous vous souvenez d'Uma Thurman
> dans la pub pour une boisson ? Ici, voici "what to expect":
> 
> https://www.icann.org/news/announcement-2018-08-22-en
> 
> Plus concrètement, votre résolveur devrait avoir la clé 19036
> (l'actuelle) et la 20326 (celle qui rentre en service le 11
> octobre). Pour vérifier :
> 
> Avec Unbound, on affiche le fichier des clés (son emplacement dépend
> de voitre configuration) :
> 
> % cat /var/lib/unbound/root.key
> ...
> .172800INDNSKEY257 3 8 
> AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kvArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+eoZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfdRUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwNR1AkUTV74bU=
>  ;{id = 20326 (ksk), size = 2048b} ;;state=2 [  VALID  ] ;;count=0 
> ;;lastchange=1502474052 ;;Fri Aug 11 19:54:12 2017
> .172800INDNSKEY257 3 8 
> AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
>  ;{id = 19036 (ksk), size = 2048b} ;;state=2 [  VALID  ] ;;count=0 
> ;;lastchange=1404118431 ;;Mon Jun 30 10:53:51 2014
> 
> Ici, c'est bon, il y a les deux clés, en état VALID, et avec les
> bonnes dates.
> 
> Avec Knot Resolver :
> 
> trust_anchors.keysets
> 
> dans la console devrait vous montrer un tableau avec les deux clés.
> 
> Avec BIND :
> 
> % rndc managed-keys status
> ...
> name: .
>keyid: 19036
>algorithm: RSASHA256
>flags: SEP
>next refresh: Tue, 28 Aug 2018 17:18:31 GMT
>trusted since: Mon, 24 Jul 2017 20:23:49 GMT
>keyid: 20326
>algorithm: RSASHA256
>flags: SEP
>next refresh: Tue, 28 Aug 2018 17:18:31 GMT
>trusted since: Mon, 24 Jul 2017 20:23:49 GMT
> 
> Parfait ici, il y a les deux clés.
> 
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC

2018-08-28 Par sujet Jonathan Leroy

Le 28 août 2018 à 15:16, Nico CARTRON  a écrit :
> et avec PowerDNS Recursor, ça se fait avec rec_control bien entendu:
>
> # rec_control get-tas
> Configured Trust Anchors:
> .
> 19036 8 2 
> 49aac11d7b6f6446702e54a1607371607a1a41855200fd2ce1cdde32f24e8fb5
> 20326 8 2 
> e06d44b80b8f1d39a95c0b0d7c65d08458e880409bbc683457104237c7f8ec8d

Et pour ceux qui utilisent le cache DNS d'un routeur Ubiquiti (dnsmasq) :

@ubnt:~$ configure
[edit]
@ubnt# show service dns forwarding options
 options dnssec
 options 
trust-anchor=.,19036,8,2,49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5
 options 
trust-anchor=.,20326,8,2,E06D44B80B8F1D39A95C0B0D7C65D08458E880409BBC683457104237C7F8EC8D
 options dnssec-check-unsigned



-- 
Jonathan Leroy.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC

2018-08-28 Par sujet Nico CARTRON

Hello,

On 28-Aug-2018 11:38 CEST,  wrote:

> Il n'y aura probablement aucun problème pour les résolveurs DNS
> sérieux mais il y a toujours des gens pas sérieux. L'ICANN a documenté
> ce à quoi ils devront s'attendre. Vous vous souvenez d'Uma Thurman
> dans la pub pour une boisson ? Ici, voici "what to expect":
> 
> https://www.icann.org/news/announcement-2018-08-22-en
> 
> Plus concrètement, votre résolveur devrait avoir la clé 19036
> (l'actuelle) et la 20326 (celle qui rentre en service le 11
> octobre). Pour vérifier :
> 
> [...]

et avec PowerDNS Recursor, ça se fait avec rec_control bien entendu:

# rec_control get-tas
Configured Trust Anchors:
.
19036 8 2 
49aac11d7b6f6446702e54a1607371607a1a41855200fd2ce1cdde32f24e8fb5
20326 8 2 
e06d44b80b8f1d39a95c0b0d7c65d08458e880409bbc683457104237c7f8ec8d

-- 
Nico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC

2018-08-28 Par sujet Stephane Bortzmeyer

Il n'y aura probablement aucun problème pour les résolveurs DNS
sérieux mais il y a toujours des gens pas sérieux. L'ICANN a documenté
ce à quoi ils devront s'attendre. Vous vous souvenez d'Uma Thurman
dans la pub pour une boisson ? Ici, voici "what to expect":

https://www.icann.org/news/announcement-2018-08-22-en

Plus concrètement, votre résolveur devrait avoir la clé 19036
(l'actuelle) et la 20326 (celle qui rentre en service le 11
octobre). Pour vérifier :

Avec Unbound, on affiche le fichier des clés (son emplacement dépend
de voitre configuration) :

% cat /var/lib/unbound/root.key
...
.   172800  IN  DNSKEY  257 3 8 
AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kvArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+eoZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfdRUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwNR1AkUTV74bU=
 ;{id = 20326 (ksk), size = 2048b} ;;state=2 [  VALID  ] ;;count=0 
;;lastchange=1502474052 ;;Fri Aug 11 19:54:12 2017
.   172800  IN  DNSKEY  257 3 8 
AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
 ;{id = 19036 (ksk), size = 2048b} ;;state=2 [  VALID  ] ;;count=0 
;;lastchange=1404118431 ;;Mon Jun 30 10:53:51 2014

Ici, c'est bon, il y a les deux clés, en état VALID, et avec les
bonnes dates.

Avec Knot Resolver :

trust_anchors.keysets

dans la console devrait vous montrer un tableau avec les deux clés.

Avec BIND :

% rndc managed-keys status
...
name: .
keyid: 19036
algorithm: RSASHA256
flags: SEP
next refresh: Tue, 28 Aug 2018 17:18:31 GMT
trusted since: Mon, 24 Jul 2017 20:23:49 GMT
keyid: 20326
algorithm: RSASHA256
flags: SEP
next refresh: Tue, 28 Aug 2018 17:18:31 GMT
trusted since: Mon, 24 Jul 2017 20:23:49 GMT

Parfait ici, il y a les deux clés.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC

Re: [FRnOG] [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC

Re: [FRnOG] [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC

[FRnOG] [TECH] [DNS] [Uma Thurman] Rappel : le 11 octobre, on change de clé DNSSEC

4 matches

Site Navigation

Mail list logo

Footer information