Nadat ICANN op 11 oktober succesvol de Key Signing Keys (KSK) van de DNS root zone aangepast heeft, starten wij op 15 november met de aanpassing van de KSK voor de .be zone.
KSK-wat?
Enkele jaren geleden werd het DNSSEC -protocol ontwikkeld om te voorkomen dat DNS-verkeer kan aangepast worden door buitenstaanders. Dit protocol werkt met 2 sleutels: de Zone Signing Keys (ZSK) en de Key Signing Keys( KSK). De ZSK wordt iedere maand veranderd, het is van 2013 geleden dat ook de KSK voor de .be-zone veranderde.
Timing
De .be-KSK-rollover zal starten op 15 november. Op die dag wordt de nieuwe KSK naast de oude in de .be zone gezet. Daarmee wordt de nieuwe KSK zichtbaar voor de buitenwereld en start de wachtperiode zodat iedere resolver de kans heeft om deze nieuwe KSK in hun cache op te nemen.
Op 22 november zullen wij de rollover bij de root zone initiëren. De feitelijke rollover zal gebeuren wanneer PTI, de organisatie die nu de IANA -functies uitoefent, de change doorvoert op hun infrastructuur (de root zone). Daarmee wordt de delegatie overgezet van de oude naar de nieuwe KSK. Op 20 december zal dan de oude sleutel opgeruimd worden en is de KSK-rollover afgelopen. Vanaf dan zal enkel de nieuwe sleutel zichtbaar zijn.
Beperkte impact
Hoogst waarschijnlijk zal niemand iets merken van deze operatie. Daar zijn een aantal redenen voor. De grote Belgische internetproviders voeren namelijk nog geen DNSSEC-validatie uit, dit in tegenstelling tot bv. de 8.8.8.8 van Google-resolver. Daarnaast is het, in tegenstelling tot de root zone, niet de bedoeling dat resolvers onze KSK hardcoderen als trust anchor. Als er resolvers zijn die dit toch gedaan hebben, dan adviseren wij hen om dit te wijzigen. Als zij hun resolvers niet aanpassen dan zullen hun gebruikers geen enkele DNSSEC geverifieerde website meer kunnen bezoeken.
Wil je meer weten over DNSSEC of de ROOT KSK-rollover dan kan je daarvoor altijd contact opnemen met onze supportafdeling. Dat kan via support@dnsbelgium.be