[GTER] Atencao Rollover KSK do .br - termino em 26/07/2010
Frederico A C Neves
fneves at registro.br
Fri Jul 16 12:10:13 -03 2010
Senhores(as),
Em 10 dias termina o rollover[1] da antiga chave KSK que vinha sendo
utilizada pelo .br desde 2008. É muito importante que os operadores
que ainda possuam esta antiga chave ancorada em seus servidores
recursivos façam a troca antes de 26/07/2010.
Com a recente assinatura da raiz, e a nossa já inclusão do registro DS
para o .br, a melhor opção é o uso de servidores DNS recursivos
recentes[2], que suportam chaves do tipo RSA/SHA-256 (RFC5702) e a
técnica de rollover-automático para DNSSEC (RFC5011), a remoção de
todas ancoras DNSSEC para zonas inferiores e a inclusão somente da
ancora para a raiz.
Com esta mudança o processo de rollover das ancoras não necessita mais
da intervenção dos operadores de servidores recursivos.
Em 16/6/2010 tive a oportunidade de acompanhar a cerimônia aonde foi
gerada esta primeira chave DNSSEC da raiz e foi executado o primeiro
tramite de assinaturas para uso neste terceiro trimestre de 2010.
Atesto que a chave gerada tem o keyid 19036 e apresenta o seguinte
registro DS.
. IN DS
19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5
O local oficial para a publicação da chave da raiz juntamente com a
definição dos formatos é http://data.iana.org/root-anchors/
Atenciosamente,
Frederico Neves
[1] http://eng.registro.br/pipermail/gter/2010-May/029658.html
[2] BIND 9.7.1-P2
http://www.isc.org/software/bind/971-p2/download/bind-971-p2
UNBOUND 1.4.5
http://www.unbound.net/downloads/unbound-1.4.5.tar.gz
[3] http://www.root-dnssec.org/tcr/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 188 bytes
Desc: not available
URL: <https://eng.registro.br/pipermail/gter/attachments/20100716/dd63a742/attachment.sig>
More information about the gter
mailing list