Připravte se včas na střídání stráží

V návaznosti na  podepsáním kořenové zóny nás všechny čeká jedna velká změna – výměna DNSSEC klíčů a přechod na NSEC3. Psal jsem o ni na tomto blogu už dříve a tak, protože se blíží její čas (započne již příští týden v úterý), rád bych na ni upozornil ještě jednou.

Tento přechod se nastartuje už v úterý 3. srpna. Z pohledu CZ.NIC to znamená, že v tento den zavedeme pro naší zónu nový klíč (rozhodli jsme se nakonec, že klíč nebude typu RSASHA256, ale ještě silnějšího typu RSASHA512) a ze všech zdrojů (ITAR, DLV, internetové stránky) stáhneme klíč, který jsme používali dosud. Následně na to, ještě v tento den, také pošleme IANA žádost o výměnu klíčů v kořenové zóně. Co všechno souvisí s touto změnou, jsme popsal ve výše zmíněném článku

Jak se říká: Co můžeš udělat dnes, neodkládej na zítřek. Tato slova v tomto případě určitě platí a to hlavně pro provozovatele rekurzivních DNS serverů, kteří provádějí validaci pomocí DNSSEC. Připravte se včas, do 3. srpna zbývá už jen jeden týden! Doporučujeme vám především:

  • přejít na validaci DNSSEC přes klíč kořenové zóny (další informace najdete na stránkách věnovaných DNSSEC)
  • upgradovat na nejnovější verzi DNS serveru.

Jaromír Talíř

Autor:

Komentáře (4)

  1. Jakub Kocourek říká:

    Je to všechno hezké, nicméně Vaši radost z DNSSEC nesdílím. Před několika měsíci jsem se rozhodl DNSSEC na našem hostingu také nasadit a zatím to přineslo jen spoustu problémů a dohadování se s různými ISP jak že ověřují na zákaznických DNS DNSSEC a jestli je to tak správně,… Výsledkem je nedostupnost našeho hostingu ze sítě GTS Novera a některých dalších.
    Takže mi nezbývá než DNSSEC z domén odstranit a počkat si než se vše dá dohromady a systém bude sjednocen :(

  2. Ondřej Surý říká:

    Dobrý den,

    bez dalších detailů je těžké říct, v čem by mohl být problém. Nicméně zkušenost dalších webhostingových firem je odlišná. A pokud se podíváte na počítadlo na našich stránkách, tak již brzy překročíme sto tisíc podepsaných doménových jmen.

    Pokud se na nás obrátíte s více detaily, tak jistě bude možné najít příčinu problému s ověřováním.

    Ondřej Surý

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.