Nace una estrella

The DNS is dead. Long live the DNSSEC.
Ayer, 15 de julio de 2010 —dos semana después de la fecha original programada - 1 de julio— y como estaba programado, se comenzó a utilizar por todos los servidores raíz la Zona Raíz firmada.
Mis servidores DNS — ns1.dnssecns.net y ns2.dnssecns.net— recibieron la primera Zona Raíz firmada, con el número de serie 2010071501, a las 20:52UTC y 20:24UTC respectivamente, como se ve en los records de syslog y como estaba previsto que ocurriera entre las 19:30UTC y las 23:30UTC.
Jul 15 23:52:13 ftp named[2802]: zone ./IN: Transfer started. Jul 15 23:52:15 ftp named[2802]: zone ./IN: transferred serial 2010071501
Jul 15 23:24:51 server2 named[10600]: zone ./IN: Transfer started. Jul 15 23:24:53 server2 named[10600]: zone ./IN: transferred serial 2010071501
A continuación expongo la parte de la Zona Raíz firmada que se refiere a la misma Zona Raíz.
$ORIGIN . $TTL 86400 ; 1 day @ IN SOA a.root-servers.net. nstld.verisign-grs.com. ( 2010071501 ; serial 1800 ; refresh (30 minutes) 900 ; retry (15 minutes) 604800 ; expire (1 week) 86400 ; minimum (1 day) ) RRSIG SOA 8 0 86400 20100722000000 ( 20100714230000 41248 . iJEabLsGHtCq8qrfSbMIjzPpBLqXa0aD5cBsIp9Sf/NF 0VJQQ4nl/v+j6NR6/KClkAz2VviWE4hLDzMWcil5qzZJ LvqduDedk3QV+mBKNy3OVPdNIeyxK/nYtxVBJMKbynJ8 pBm0vAL3TW1+0JEfD7IG0do5t84+32hQd9MbVn0= ) $TTL 518400 ; 6 days NS a.root-servers.net. NS b.root-servers.net. NS c.root-servers.net. NS d.root-servers.net. NS e.root-servers.net. NS f.root-servers.net. NS g.root-servers.net. NS h.root-servers.net. NS i.root-servers.net. NS j.root-servers.net. NS k.root-servers.net. NS l.root-servers.net. NS m.root-servers.net. RRSIG NS 8 0 518400 20100722000000 ( 20100714230000 41248 . ohs6B6xof3LrglEMni5/gz9NY5M8MWx0qNVpzo8Smzdq hA4gUGTzHW2O9kz7ZqZLZq6LXUF2Qg2eYoY9rfBjajq0 PSZIzkpwWGVIF2hQnbtiDUwSRR/RliyBUsGyvom7LNug +527vQCCEu9GNWS9rSgqo2HY44+CYjqo0mpFY58= ) $TTL 86400 ; 1 day NSEC ac. NS SOA RRSIG NSEC DNSKEY RRSIG NSEC 8 0 86400 20100722000000 ( 20100714230000 41248 . hRFnAY9bkRYKSVlnz8E1mG9QqRdoiK1UoMdPBO/mowHz JINUcFPYPXNSMt74pesK7B0FAu4jEvzG+rXgD0D0e+t9 RQXQLVYTMHIdA2qN6x+ujFV/atbuVs+R8TAMUs1YO8fv FxWC/Be/eI63fzQXi7vy/kYOvujQF74jyjA8Es4= ) DNSKEY 256 3 8 ( AwEAAb1gcDhBlH/9MlgUxS0ik2dwY/JiBIpV+EhKZV7L ccxNc6Qlj467QjHQ3Fgm2i2LE9w6LqPFDSng5qVq1OYF yTBt3DQppqDnAPriTwW5qIQNDNFv34yo63sAdBeU4G9t v7dzT5sPyAgmVh5HDCe+6XM2+Iel1+kUKCel8Icy19hR ) ; key id = 41248 DNSKEY 257 3 8 ( AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh /RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3 LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0= ) ; key id = 19036 RRSIG DNSKEY 8 0 86400 20100725235959 ( 20100711000000 19036 . I4cENgcWP+mN7eoX8KqPhvOMcGB0MMOB6ooTbEKHPR9g k6sAcJvq04tCncwBNiMY3JxzHajsLmMermTL0sVmXj8j 6Ba3eTX+t4CsdnUBFfk8zDyblIIlYwWKZ/x2aXmOjKIK MIC9w8Wnt8awoo45MWzlAT2wGU7gcCAKxJ+OFG/ev8eU XpNxpzRIQvuC7ZGOlELJrrTQCgubyMWOjGaY0MPzrei0 Uwe92autHPcISBKghnp80zfLmkueSO8qmkbwHn6Jg5vF Q7mG/BKJ5mDXCX5kIjfBQPPe+I2FsGnl+2r9yAmT1n7x LzktKRwKpCwE265EUhDMq7e0P7gFkhgEPA== )
El record en cuestión que faltaba para implementar totalmente el DNSSEC es el DNSKEY. Hasta ahora se utilizaban deliberadamente dos DNSKEY incorrectos y de esta forma a la Zona Raíz firmada de este modo se le llamaba Zona Raíz Deliberadamente Invalidable (Deliberately-Unvalidatable Root Zone—DURZ) y se utilizaba para hacer pruebas y correcciones. La Zona Raíz siguiente es la última que corresponde a DURZ y es de la misma fecha—15 de julio de 2010.
$ORIGIN . $TTL 86400 ; 1 day @ IN SOA a.root-servers.net. nstld.verisign-grs.com. ( 2010071500 ; serial 1800 ; refresh (30 minutes) 900 ; retry (15 minutes) 604800 ; expire (1 week) 86400 ; minimum (1 day) ) RRSIG SOA 8 0 86400 20100722000000 ( 20100714230000 41248 . RIg5AnjGSuXxkQBqsQOE2LF7t7YWFTuV1sXVjOiq4rAE +gHoCjQGJcn0P/DdZKnWkwWj0Jn+/eIY2o/cn3psPwJF 1fDBM8OLuU1351sHpXwG4wrILiZdT9dPGJZVURovcado /dzZHRZBSF3+2XnZIP/+1RSajvdZs7518fjvoTc= ) $TTL 518400 ; 6 days NS a.root-servers.net. NS b.root-servers.net. NS c.root-servers.net. NS d.root-servers.net. NS e.root-servers.net. NS f.root-servers.net. NS g.root-servers.net. NS h.root-servers.net. NS i.root-servers.net. NS j.root-servers.net. NS k.root-servers.net. NS l.root-servers.net. NS m.root-servers.net. RRSIG NS 8 0 518400 20100722000000 ( 20100714230000 41248 . ohs6B6xof3LrglEMni5/gz9NY5M8MWx0qNVpzo8Smzdq hA4gUGTzHW2O9kz7ZqZLZq6LXUF2Qg2eYoY9rfBjajq0 PSZIzkpwWGVIF2hQnbtiDUwSRR/RliyBUsGyvom7LNug +527vQCCEu9GNWS9rSgqo2HY44+CYjqo0mpFY58= ) $TTL 86400 ; 1 day NSEC ac. NS SOA RRSIG NSEC DNSKEY RRSIG NSEC 8 0 86400 20100722000000 ( 20100714230000 41248 . hRFnAY9bkRYKSVlnz8E1mG9QqRdoiK1UoMdPBO/mowHz JINUcFPYPXNSMt74pesK7B0FAu4jEvzG+rXgD0D0e+t9 RQXQLVYTMHIdA2qN6x+ujFV/atbuVs+R8TAMUs1YO8fv FxWC/Be/eI63fzQXi7vy/kYOvujQF74jyjA8Es4= ) DNSKEY 256 3 8 ( AwEAAa2Yy++++++++++++++++THIS/IS/AN/INVALID/ KEY/AND/SHOULD/NOT/BE/USED/CONTACT/ROOTSIGN/ AT/ICANN/DOT/ORG/FOR/MORE/INFORMATION+++++++ +++++++++++++++++++++++++++++++++++++++++++8 ) ; key id = 41248 DNSKEY 257 3 8 ( AwEAAa7hd++++++++++++++++THIS/IS/AN/INVALID/ KEY/AND/SHOULD/NOT/BE/USED/CONTACT/ROOTSIGN/ AT/ICANN/DOT/ORG/FOR/MORE/INFORMATION+++++++ ++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++8= ) ; key id = 19036 RRSIG DNSKEY 8 0 86400 20100725235959 ( 20100711000000 19036 . I4cENgcWP+mN7eoX8KqPhvOMcGB0MMOB6ooTbEKHPR9g k6sAcJvq04tCncwBNiMY3JxzHajsLmMermTL0sVmXj8j 6Ba3eTX+t4CsdnUBFfk8zDyblIIlYwWKZ/x2aXmOjKIK MIC9w8Wnt8awoo45MWzlAT2wGU7gcCAKxJ+OFG/ev8eU XpNxpzRIQvuC7ZGOlELJrrTQCgubyMWOjGaY0MPzrei0 Uwe92autHPcISBKghnp80zfLmkueSO8qmkbwHn6Jg5vF Q7mG/BKJ5mDXCX5kIjfBQPPe+I2FsGnl+2r9yAmT1n7x LzktKRwKpCwE265EUhDMq7e0P7gFkhgEPA== )
Ya nadie tiene justificación para no implementar DNSSEC.