« KSK Ceremonia | Inicio | Reconstrucción de la Plaza Mayor »

Nace una estrella

DNSSEC banner

The DNS is dead. Long live the DNSSEC.
Ayer, 15 de julio de 2010 —dos semana después de la fecha original programada - 1 de julio— y como estaba programado, se comenzó a utilizar por todos los servidores raíz la Zona Raíz firmada.

Mis servidores DNS — ns1.dnssecns.net y ns2.dnssecns.net— recibieron la primera Zona Raíz firmada, con el número de serie 2010071501, a las 20:52UTC y 20:24UTC respectivamente, como se ve en los records de syslog y como estaba previsto que ocurriera entre las 19:30UTC y las 23:30UTC.

Jul 15 23:52:13 ftp named[2802]: zone ./IN: Transfer started.
Jul 15 23:52:15 ftp named[2802]: zone ./IN: transferred serial 2010071501
Jul 15 23:24:51 server2 named[10600]: zone ./IN: Transfer started.
Jul 15 23:24:53 server2 named[10600]: zone ./IN: transferred serial 2010071501

A continuación expongo la parte de la Zona Raíz firmada que se refiere a la misma Zona Raíz.

$ORIGIN .
$TTL 86400	; 1 day
@			IN SOA	a.root-servers.net. nstld.verisign-grs.com. (
				2010071501 ; serial
				1800       ; refresh (30 minutes)
				900        ; retry (15 minutes)
				604800     ; expire (1 week)
				86400      ; minimum (1 day)
				)
			RRSIG	SOA 8 0 86400 20100722000000 (
				20100714230000 41248 .
				iJEabLsGHtCq8qrfSbMIjzPpBLqXa0aD5cBsIp9Sf/NF
				0VJQQ4nl/v+j6NR6/KClkAz2VviWE4hLDzMWcil5qzZJ
				LvqduDedk3QV+mBKNy3OVPdNIeyxK/nYtxVBJMKbynJ8
				pBm0vAL3TW1+0JEfD7IG0do5t84+32hQd9MbVn0= )
$TTL 518400	; 6 days
			NS	a.root-servers.net.
			NS	b.root-servers.net.
			NS	c.root-servers.net.
			NS	d.root-servers.net.
			NS	e.root-servers.net.
			NS	f.root-servers.net.
			NS	g.root-servers.net.
			NS	h.root-servers.net.
			NS	i.root-servers.net.
			NS	j.root-servers.net.
			NS	k.root-servers.net.
			NS	l.root-servers.net.
			NS	m.root-servers.net.
			RRSIG	NS 8 0 518400 20100722000000 (
				20100714230000 41248 .
				ohs6B6xof3LrglEMni5/gz9NY5M8MWx0qNVpzo8Smzdq
				hA4gUGTzHW2O9kz7ZqZLZq6LXUF2Qg2eYoY9rfBjajq0
				PSZIzkpwWGVIF2hQnbtiDUwSRR/RliyBUsGyvom7LNug
				+527vQCCEu9GNWS9rSgqo2HY44+CYjqo0mpFY58= )
$TTL 86400	; 1 day
			NSEC	ac. NS SOA RRSIG NSEC DNSKEY
			RRSIG	NSEC 8 0 86400 20100722000000 (
				20100714230000 41248 .
				hRFnAY9bkRYKSVlnz8E1mG9QqRdoiK1UoMdPBO/mowHz
				JINUcFPYPXNSMt74pesK7B0FAu4jEvzG+rXgD0D0e+t9
				RQXQLVYTMHIdA2qN6x+ujFV/atbuVs+R8TAMUs1YO8fv
				FxWC/Be/eI63fzQXi7vy/kYOvujQF74jyjA8Es4= )
			DNSKEY	256 3 8 (
				AwEAAb1gcDhBlH/9MlgUxS0ik2dwY/JiBIpV+EhKZV7L
				ccxNc6Qlj467QjHQ3Fgm2i2LE9w6LqPFDSng5qVq1OYF
				yTBt3DQppqDnAPriTwW5qIQNDNFv34yo63sAdBeU4G9t
				v7dzT5sPyAgmVh5HDCe+6XM2+Iel1+kUKCel8Icy19hR
				) ; key id = 41248
			DNSKEY	257 3 8 (
				AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ
				bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh
				/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA
				JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp
				oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3
				LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO
				Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc
				LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
				) ; key id = 19036
			RRSIG	DNSKEY 8 0 86400 20100725235959 (
				20100711000000 19036 .
				I4cENgcWP+mN7eoX8KqPhvOMcGB0MMOB6ooTbEKHPR9g
				k6sAcJvq04tCncwBNiMY3JxzHajsLmMermTL0sVmXj8j
				6Ba3eTX+t4CsdnUBFfk8zDyblIIlYwWKZ/x2aXmOjKIK
				MIC9w8Wnt8awoo45MWzlAT2wGU7gcCAKxJ+OFG/ev8eU
				XpNxpzRIQvuC7ZGOlELJrrTQCgubyMWOjGaY0MPzrei0
				Uwe92autHPcISBKghnp80zfLmkueSO8qmkbwHn6Jg5vF
				Q7mG/BKJ5mDXCX5kIjfBQPPe+I2FsGnl+2r9yAmT1n7x
				LzktKRwKpCwE265EUhDMq7e0P7gFkhgEPA== )

El record en cuestión que faltaba para implementar totalmente el DNSSEC es el DNSKEY. Hasta ahora se utilizaban deliberadamente dos DNSKEY incorrectos y de esta forma a la Zona Raíz firmada de este modo se le llamaba Zona Raíz Deliberadamente Invalidable (Deliberately-Unvalidatable Root Zone—DURZ) y se utilizaba para hacer pruebas y correcciones. La Zona Raíz siguiente es la última que corresponde a DURZ y es de la misma fecha—15 de julio de 2010.

$ORIGIN .
$TTL 86400	; 1 day
@			IN SOA	a.root-servers.net. nstld.verisign-grs.com. (
				2010071500 ; serial
				1800       ; refresh (30 minutes)
				900        ; retry (15 minutes)
				604800     ; expire (1 week)
				86400      ; minimum (1 day)
				)
			RRSIG	SOA 8 0 86400 20100722000000 (
				20100714230000 41248 .
				RIg5AnjGSuXxkQBqsQOE2LF7t7YWFTuV1sXVjOiq4rAE
				+gHoCjQGJcn0P/DdZKnWkwWj0Jn+/eIY2o/cn3psPwJF
				1fDBM8OLuU1351sHpXwG4wrILiZdT9dPGJZVURovcado
				/dzZHRZBSF3+2XnZIP/+1RSajvdZs7518fjvoTc= )
$TTL 518400	; 6 days
			NS	a.root-servers.net.
			NS	b.root-servers.net.
			NS	c.root-servers.net.
			NS	d.root-servers.net.
			NS	e.root-servers.net.
			NS	f.root-servers.net.
			NS	g.root-servers.net.
			NS	h.root-servers.net.
			NS	i.root-servers.net.
			NS	j.root-servers.net.
			NS	k.root-servers.net.
			NS	l.root-servers.net.
			NS	m.root-servers.net.
			RRSIG	NS 8 0 518400 20100722000000 (
				20100714230000 41248 .
				ohs6B6xof3LrglEMni5/gz9NY5M8MWx0qNVpzo8Smzdq
				hA4gUGTzHW2O9kz7ZqZLZq6LXUF2Qg2eYoY9rfBjajq0
				PSZIzkpwWGVIF2hQnbtiDUwSRR/RliyBUsGyvom7LNug
				+527vQCCEu9GNWS9rSgqo2HY44+CYjqo0mpFY58= )
$TTL 86400	; 1 day
			NSEC	ac. NS SOA RRSIG NSEC DNSKEY
			RRSIG	NSEC 8 0 86400 20100722000000 (
				20100714230000 41248 .
				hRFnAY9bkRYKSVlnz8E1mG9QqRdoiK1UoMdPBO/mowHz
				JINUcFPYPXNSMt74pesK7B0FAu4jEvzG+rXgD0D0e+t9
				RQXQLVYTMHIdA2qN6x+ujFV/atbuVs+R8TAMUs1YO8fv
				FxWC/Be/eI63fzQXi7vy/kYOvujQF74jyjA8Es4= )
			DNSKEY	256 3 8 (
				AwEAAa2Yy++++++++++++++++THIS/IS/AN/INVALID/
				KEY/AND/SHOULD/NOT/BE/USED/CONTACT/ROOTSIGN/
				AT/ICANN/DOT/ORG/FOR/MORE/INFORMATION+++++++
				+++++++++++++++++++++++++++++++++++++++++++8
				) ; key id = 41248
			DNSKEY	257 3 8 (
				AwEAAa7hd++++++++++++++++THIS/IS/AN/INVALID/
				KEY/AND/SHOULD/NOT/BE/USED/CONTACT/ROOTSIGN/
				AT/ICANN/DOT/ORG/FOR/MORE/INFORMATION+++++++
				++++++++++++++++++++++++++++++++++++++++++++
				++++++++++++++++++++++++++++++++++++++++++++
				++++++++++++++++++++++++++++++++++++++++++++
				++++++++++++++++++++++++++++++++++++++++++++
				++++++++++++++++++++++++++++++++++++++8=
				) ; key id = 19036
			RRSIG	DNSKEY 8 0 86400 20100725235959 (
				20100711000000 19036 .
				I4cENgcWP+mN7eoX8KqPhvOMcGB0MMOB6ooTbEKHPR9g
				k6sAcJvq04tCncwBNiMY3JxzHajsLmMermTL0sVmXj8j
				6Ba3eTX+t4CsdnUBFfk8zDyblIIlYwWKZ/x2aXmOjKIK
				MIC9w8Wnt8awoo45MWzlAT2wGU7gcCAKxJ+OFG/ev8eU
				XpNxpzRIQvuC7ZGOlELJrrTQCgubyMWOjGaY0MPzrei0
				Uwe92autHPcISBKghnp80zfLmkueSO8qmkbwHn6Jg5vF
				Q7mG/BKJ5mDXCX5kIjfBQPPe+I2FsGnl+2r9yAmT1n7x
				LzktKRwKpCwE265EUhDMq7e0P7gFkhgEPA== )

Ya nadie tiene justificación para no implementar DNSSEC.

Publicar un comentario