«
»

Připravte se včas na střídání stráží

V návaznosti na  podepsáním kořenové zóny nás všechny čeká jedna velká změna – výměna DNSSEC klíčů a přechod na NSEC3. Psal jsem o ni na tomto blogu už dříve a tak, protože se blíží její čas (započne již příští týden v úterý), rád bych na ni upozornil ještě jednou.

Tento přechod se nastartuje už v úterý 3. srpna. Z pohledu CZ.NIC to znamená, že v tento den zavedeme pro naší zónu nový klíč (rozhodli jsme se nakonec, že klíč nebude typu RSASHA256, ale ještě silnějšího typu RSASHA512) a ze všech zdrojů (ITAR, DLV, internetové stránky) stáhneme klíč, který jsme používali dosud. Následně na to, ještě v tento den, také pošleme IANA žádost o výměnu klíčů v kořenové zóně. Co všechno souvisí s touto změnou, jsme popsal ve výše zmíněném článku

Jak se říká: Co můžeš udělat dnes, neodkládej na zítřek. Tato slova v tomto případě určitě platí a to hlavně pro provozovatele rekurzivních DNS serverů, kteří provádějí validaci pomocí DNSSEC. Připravte se včas, do 3. srpna zbývá už jen jeden týden! Doporučujeme vám především:

  • přejít na validaci DNSSEC přes klíč kořenové zóny (další informace najdete na stránkách věnovaných DNSSEC)
  • upgradovat na nejnovější verzi DNS serveru.

Jaromír Talíř

Tento příspěvek byl publikován dne 27. 7. 2010 (Úterý) v 8:35 v rubrice DNSSEC. Komentáře můžete sledovat přes RSS 2.0 kanál. Můžete zanechat komentář nebo trackback z vašeho webu.

4 komentářů k příspěvku “Připravte se včas na střídání stráží”

  1. Jakub Kocourek říká:
    27. 7. 2010 v 11:23

    Je to všechno hezké, nicméně Vaši radost z DNSSEC nesdílím. Před několika měsíci jsem se rozhodl DNSSEC na našem hostingu také nasadit a zatím to přineslo jen spoustu problémů a dohadování se s různými ISP jak že ověřují na zákaznických DNS DNSSEC a jestli je to tak správně,… Výsledkem je nedostupnost našeho hostingu ze sítě GTS Novera a některých dalších.
    Takže mi nezbývá než DNSSEC z domén odstranit a počkat si než se vše dá dohromady a systém bude sjednocen :(

  2. Ondřej Surý říká:
    28. 7. 2010 v 19:09

    Dobrý den,

    bez dalších detailů je těžké říct, v čem by mohl být problém. Nicméně zkušenost dalších webhostingových firem je odlišná. A pokud se podíváte na počítadlo na našich stránkách, tak již brzy překročíme sto tisíc podepsaných doménových jmen.

    Pokud se na nás obrátíte s více detaily, tak jistě bude možné najít příčinu problému s ověřováním.

    Ondřej Surý

  3. .blog » Archiv » Dvojkotví říká:
    5. 8. 2010 v 10:09

    [...] že ITAR se pomalu stává minulostí, už rozhodně nelze validovat jen s ním. Česká doména jej kvůli rotaci klíčů opustí brzy a dá se předpokládat, že obdobně se zachovají i ostatní registry. Naopak nové registry už [...]

  4. » Jak vylistovat doménu cz. - Oskarův Weblog @root říká:
    27. 9. 2010 v 9:36

    [...] V každém případě k vyřešení tohoto pseudoproblému byl vyvinut záznam NSEC3, který namísto seřazených jmen používá seřazené hashe (Podrobněji například v článku Pavla Satrapy na Lupě). Takové řešení vede k většímu zatížení DNS serverů, to však zřejmě za uklidnění paranoiků stojí. Ostatně právě česká národní doména na tento typ záznamů co nevidět přejde. [...]

Zanechte komentář