[GTER] Atencao Rollover KSK do .br - termino em 26/07/2010

Frederico A C Neves fneves at registro.br
Fri Jul 16 12:10:13 -03 2010


Senhores(as),

Em 10 dias termina o rollover[1] da antiga chave KSK que vinha sendo
utilizada pelo .br desde 2008. É muito importante que os operadores
que ainda possuam esta antiga chave ancorada em seus servidores
recursivos façam a troca antes de 26/07/2010.

Com a recente assinatura da raiz, e a nossa já inclusão do registro DS
para o .br, a melhor opção é o uso de servidores DNS recursivos
recentes[2], que suportam chaves do tipo RSA/SHA-256 (RFC5702) e a
técnica de rollover-automático para DNSSEC (RFC5011), a remoção de
todas ancoras DNSSEC para zonas inferiores e a inclusão somente da
ancora para a raiz.

Com esta mudança o processo de rollover das ancoras não necessita mais
da intervenção dos operadores de servidores recursivos.

Em 16/6/2010 tive a oportunidade de acompanhar a cerimônia aonde foi
gerada esta primeira chave DNSSEC da raiz e foi executado o primeiro
tramite de assinaturas para uso neste terceiro trimestre de 2010.

Atesto que a chave gerada tem o keyid 19036 e apresenta o seguinte
registro DS.

. IN DS 
  19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5

O local oficial para a publicação da chave da raiz juntamente com a
definição dos formatos é http://data.iana.org/root-anchors/

Atenciosamente,
Frederico Neves

[1] http://eng.registro.br/pipermail/gter/2010-May/029658.html
[2] BIND 9.7.1-P2 
    http://www.isc.org/software/bind/971-p2/download/bind-971-p2
    UNBOUND 1.4.5
    http://www.unbound.net/downloads/unbound-1.4.5.tar.gz
[3] http://www.root-dnssec.org/tcr/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 188 bytes
Desc: not available
URL: <https://eng.registro.br/pipermail/gter/attachments/20100716/dd63a742/attachment.sig>


More information about the gter mailing list