[Lista ArNOG] KSK Rollover - Ayuda

Andres Barbieri barbieri en cespi.unlp.edu.ar
Jue Ago 23 14:49:26 ART 2018 

En ese link explica como hacer el update
https://www.icann.org/resources/pages/dns-resolvers-updating-latest-trust-anchor-2018-06-27-es

Para versiones nuevas se hace automático casi, para viejas hay que
reemplazar a mano un archivo. Siempre hablando de bind.

El server fail quiere decir que esta OK. Ojo, con la ckave KSK2010 que
aún esta activa también va dar el server fail. El tema es en octubre
cuando se quite creo, que ahí no va a funcionar el chequeo. Una
posibilidad que es la que se recomienda en el doc anterior es dejar
ambas la KSK2010 y la KSK2017.


&res-


On 22/08/18 20:50, Luciano Minuchin wrote:
> Hola asi es lo mas importante es tener las ultimas versiones de Bibd y los updates aplicados, con eso se resuelven la mayor parte de los problemas x este tema.
> 
> Saludos.
> Luciano.
> 
> El 22 ago. 2018, a la(s) 11:28, Ing. Emiliano Rodriguez <erodriguez en cablevideodigital.com.ar> escribió:
> 
>> Muchas gracias, ahi busque en otro directorio y ya estaban las key descargadas.
>>
>> Saludos
>>
>>
>>> El 22/08/2018 a las 10:31 a.m., Federico Torga escribió:
>>> Hola Emiliano.
>>>
>>> En la página donde te dice que hagas las pruebas menciona que si te da este resultado está bien.
>>>
>>> *
>>> dig @ADDRESSdnssec-failed.org <http://dnssec-failed.org>  a +dnssec
>>> *
>>>
>>> In that command, replace the string *|ADDRESS|* with the IPv4 or IPv6 address of the resolver you operate.
>>>
>>> If the response includes the following:
>>>
>>> *
>>> ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL
>>> *
>>>
>>> then the resolver is doing DNSSECvalidation. (The status indication of *|SERVFAIL|* here indicates that the validation failed, which means that the validation is in fact happening.)
>>>
>>>
>>> Fíjate que está diciendo que tiene que darte así
>>> No lo hice pero si probas con otro dominio no tendría que darte servfail
>>>
>>>
>>>
>>>
>>>
>>> Saludos
>>>
>>> Federico
>>>
>>>
>>>
>>>
>>>
>>> El El mié, 22 ago. 2018 a las 09:39, Ing. Emiliano Rodriguez <erodriguez en cablevideodigital.com.ar <mailto:erodriguez en cablevideodigital.com.ar>> escribió:
>>>
>>>    Buenos dias, queria ver si alguien me puede dar una mano con este
>>>    problema.
>>>
>>>    En el dia de ayer me llego un por mail un aviso solicitando que
>>>    actualice los dns recursivos que usamos en nuestros clientes antes
>>>    del
>>>    11 de octubre.
>>>
>>>    Hice las pruebas con el comando dig @ADDRESS dnssec-failed.org
>>>    <http://dnssec-failed.org> a
>>>    +dnssec, el cual me da la siguiente salida
>>>
>>>    ; (1 server found)
>>>    ;; global options: +cmd
>>>    ;; Got answer:
>>>    ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 55739
>>>    ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
>>>
>>>    tengo seteado en named.conf.options
>>>
>>>       dnssec-enable yes;
>>>       dnssec-validation auto;
>>>
>>>    con esta keys que copie de la pagina de Icann
>>>
>>>    /etc/bind$ cat bind.keys
>>>    managed-keys {
>>>             . initial-key 257 3 8
>>>    "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
>>>    FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
>>>    bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
>>>    X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
>>>    W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
>>>    Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
>>>                             QxA+Uk1ihz0=";
>>>
>>>             . initial-key 257 3 8
>>>    "AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3
>>>    +/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kv
>>>    ArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF
>>>    0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+e
>>>    oZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfd
>>>    RUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwN
>>>                             R1AkUTV74bU=";
>>>    };
>>>
>>>    El tema que reinicio los servicios y sigue dando servfail, probe
>>>    en otro
>>>    dns y mismo error.
>>>
>>>    Les voy a agradecer si alguien lo hizo y me indica que paso estoy
>>>    omitiendo.
>>>
>>>    Saludos
>>>
>>>    --     Ing. Emiliano Rodriguez
>>>    NOC Cablevideo Digital
>>>    Av. Aristobulo del Valle 5101
>>>    <https://maps.google.com/?q=Av.+Aristobulo+del+Valle+5101&entry=gmail&source=g>
>>>    - 3000 - Santa Fe
>>>    342 - 4560909
>>>    www.cablevideodigital.com.ar <http://www.cablevideodigital.com.ar>
>>>
>>>
>>>    ---
>>>    El software de antivirus Avast ha analizado este correo
>>>    electrónico en busca de virus.
>>>    https://www.avast.com/antivirus
>>>
>>>    _______________________________________________
>>>    Lista mailing list
>>>    Lista en arnog.com.ar <mailto:Lista en arnog.com.ar>
>>>    http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>
>>>
>>>
>>> _______________________________________________
>>> Lista mailing list
>>> Lista en arnog.com.ar
>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>
>> -- 
>> Ing. Emiliano Rodriguez
>> NOC Cablevideo Digital
>> Av. Aristobulo del Valle 5101 - 3000 - Santa Fe
>> 342 - 4560909
>> www.cablevideodigital.com.ar
>>
>>
>> ---
>> El software de antivirus Avast ha analizado este correo electrónico en busca de virus.
>> https://www.avast.com/antivirus
>>
>> _______________________________________________
>> Lista mailing list
>> Lista en arnog.com.ar
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>

Más información sobre la lista de distribución Lista