<div dir="ltr">Gracias Mave, creo que con tu respuesta quedo explicado todo... <div>Saludos </div><div> Miguel</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">El vie., 9 oct. 2020 a las 11:17, Mauricio Vergara Ereche (<<a href="mailto:mave@cero32.cl">mave@cero32.cl</a>>) escribió:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Hola Miguel,</div><div><br></div><div>Si el registro DS está aún en la zona padre y desactivas DNSSEC en tu servidor autoritativo... entonces todos los resolvers que tengan habilitado DNSSEC te van a ver como NXDOMAIN: Eso quiere decir, el comportamiento sería el mismo que si hubieses apagado tus servidores. **NO LO HAGAS**<br></div><div><br></div><div>Si necesitas migrar servidores DNS, tienes 2 opciones... y en ambas deberías tener que interactuar con tu zona padre.<br></div><div>Estas opciones suponen que tú no tienes acceso al material criptográfico de DNSSEC y que ese servicio lo da un tercero, que no puedes manejar personalmente:<br></div><div><br></div><div>OPCION 1: Hacer la transición dejando de usar DNSSEC durante el cambio:</div><div>1. Sacar el registro DS de tu zona padre (Si tienes un .CL hacerlo en NIC Chile)</div><div>2. Esperar que pasen los TTL correspondientes de tu zona</div><div>3. Desactivar DNSSEC de tu proveedor</div><div>4. Esperar TTLs. Chequear en <a href="http://dnsviz.net" target="_blank">dnsviz.net</a> (ver opcion update now cada vez que vayas a hacer una nuevo chequeo para no ver caché antiguo)<br></div><div>5. Hacer la migración al nuevo proveedor/hosting (con los cambios correspondientes de NS en la zona padre)</div><div>6. Esperar TTLs<br></div><div>7. Activar DNSSEC en nuevo hosting</div><div>8. Esperar TTLs. Chequear con dnsviz<br></div><div>9. Publicar nuevo registro DS en la zona padre.<br></div><div>10. Chequear en <a href="http://dnsviz.net" target="_blank">dnsviz.net</a><br></div><div>11. Desactivar el proveedor antiguo.<br></div><div><br></div><div>OPCION 2: Continuar firmando con DNSSEC durante la transición<br></div><div>1. Hacer una copia de la zona DNS "plana" (sin dnssec) al proveedor nuevo</div><div>2. Activar DNSSEC en el proveedor nuevo</div><div>3. Subir el nuevo registro DS a tu zona padre y agregarlo. Ojo con no borrar el DS anterior y no mezclar los algoritmos DS (si tu DS antiguo tenía digest 1 o 2 o ambos, mantenerlos y agregar los equivalentes del nuevo dominio)<br></div><div>4. Esperar TTL de la zona padre y chequear con <a href="http://dnsviz.net" target="_blank">dnsviz.net</a><br></div><div>5. Cuando hagas la migración de servidores, actualiza los registros DNS (A, AAAA, MX o los que sean necesarios) en ambos proveedores</div><div>6. Esperar TTLs, chequear con dnsviz</div><div>7. Actualizar los registros NS en la zona padre para hacer la transición de un proveedor al otro en ambos proveedores.</div><div>8. Esperar TTLs, chequear con dnsviz</div><div>9. Cuando esté todo contento, eliminar el registro DS antiguo de la zona padre... mantener el DS del proveedor nuevo.<br></div><div>10. Esperar TTLs, chequear con dnsviz</div><div>11. Apagar DNSSEC y el proveedor antiguo por completo.</div><div><br></div><div>Para la opción 2 acá hay una presentación de Matt Pounsett donde hicieron un proceso como el que menciono: Video de la presentación <a href="https://youtu.be/XdFwAg5R49Q" target="_blank">https://youtu.be/XdFwAg5R49Q</a> (y los slides: <a href="https://indico.dns-oarc.net/event/25/contributions/400/attachments/374/642/Inter-Operator_Transfer_of_Signed_TLDs.pdf" target="_blank">https://indico.dns-oarc.net/event/25/contributions/400/attachments/374/642/Inter-Operator_Transfer_of_Signed_TLDs.pdf</a> ). Todo esto, basándose en el RFC 6781 ( <a href="https://datatracker.ietf.org/doc/rfc6781/" target="_blank">https://datatracker.ietf.org/doc/rfc6781/</a> )<br></div><div><br></div><div>Saludos!<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Oct 9, 2020 at 6:35 AM Miguel Angel Amador via dns-esp <<a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">Estimados<div dir="auto"> Cual seria el comportamiento esperado si a mi dominio con dnssec, le desactivo dnssec en mis servidores dns pero no doy aviso a NIC?</div><div dir="auto">  Para saber la afectacion que podria tener una migracion de servidores dns.</div><div dir="auto"> Quedo atento. </div><div dir="auto"> Miguel Amador </div></div>
_______________________________________________<br>
dns-esp mailing list<br>
<a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
<a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr"><div dir="ltr"><div><div dir="ltr"><span style="font-size:12.8px">Mauricio Vergara Ereche</span><br></div><div><a href="http://about.me/mave" target="_blank">about.me/mave</a></div><div><br></div></div></div></div>
</blockquote></div>