V návaznosti na podepsáním kořenové zóny nás všechny čeká jedna velká změna – výměna DNSSEC klíčů a přechod na NSEC3. Psal jsem o ni na tomto blogu už dříve a tak, protože se blíží její čas (započne již příští týden v úterý), rád bych na ni upozornil ještě jednou.
Tento přechod se nastartuje už v úterý 3. srpna. Z pohledu CZ.NIC to znamená, že v tento den zavedeme pro naší zónu nový klíč (rozhodli jsme se nakonec, že klíč nebude typu RSASHA256, ale ještě silnějšího typu RSASHA512) a ze všech zdrojů (ITAR, DLV, internetové stránky) stáhneme klíč, který jsme používali dosud. Následně na to, ještě v tento den, také pošleme IANA žádost o výměnu klíčů v kořenové zóně. Co všechno souvisí s touto změnou, jsme popsal ve výše zmíněném článku.
Jak se říká: Co můžeš udělat dnes, neodkládej na zítřek. Tato slova v tomto případě určitě platí a to hlavně pro provozovatele rekurzivních DNS serverů, kteří provádějí validaci pomocí DNSSEC. Připravte se včas, do 3. srpna zbývá už jen jeden týden! Doporučujeme vám především:
- přejít na validaci DNSSEC přes klíč kořenové zóny (další informace najdete na stránkách věnovaných DNSSEC)
- upgradovat na nejnovější verzi DNS serveru.
Jaromír Talíř
Je to všechno hezké, nicméně Vaši radost z DNSSEC nesdílím. Před několika měsíci jsem se rozhodl DNSSEC na našem hostingu také nasadit a zatím to přineslo jen spoustu problémů a dohadování se s různými ISP jak že ověřují na zákaznických DNS DNSSEC a jestli je to tak správně,… Výsledkem je nedostupnost našeho hostingu ze sítě GTS Novera a některých dalších.
Takže mi nezbývá než DNSSEC z domén odstranit a počkat si než se vše dá dohromady a systém bude sjednocen :(
Dobrý den,
bez dalších detailů je těžké říct, v čem by mohl být problém. Nicméně zkušenost dalších webhostingových firem je odlišná. A pokud se podíváte na počítadlo na našich stránkách, tak již brzy překročíme sto tisíc podepsaných doménových jmen.
Pokud se na nás obrátíte s více detaily, tak jistě bude možné najít příčinu problému s ověřováním.
Ondřej Surý