[dns-esp] Aviso de utilidad pública para resolvers DNSSEC: unbound-anchor puede necesitar su atención

[Mauricio Vergara Ereche]

Hola!

Aquéllos que ocupan unbound como resolver para hacer validación DNSSEC, se
sugiere que revisen si sus sistemas están funcionando como es esperado.

Dentro de Unbound, hay un binario llamado "unbound-anchor" que ocupa los
métodos descritos en el RFC7958 y hace el trabajo de realizar la validación
de las llaves DNSKEY obtenidas de la raíz en caso de que no existan. Su
creación fue hecho para facilitar los rollovers con el método descrito en
el RFC5011 (tal como el que ha ocurrido en la zona raíz durante este año).
Si este software tiene problemas, puede entorpecer la resolución DNSSEC y
potencialmente causar pérdidas de servicio en aquellos clientes que ocupen
ese servicio.

Cómo revisar?

# Parte 1: Revisar si HOY tienen ambas llaves DNSKEY
unbound-anchor -l
(debería mostrar llaves 19036 y 20326, más un certificado)

# Parte 2: Verificar que las llaves son válidas:
unbound-anchor -vF
(mensaje en la línea final debería decir: "success: the anchor has been
updated using the cert")

Si hasta este punto, todo está bien... entonces su sistema está correcto y
nada más hay que hacer :-)

...sino:

# Parte 3: Si arroja el error "PKCS7 signature failed" o dice
"/etc/unbound/icannbundle.pem: No such file or directory", se puede
arreglar con:
cd /etc/unbound
wget https://data.iana.org/root-anchors/icannbundle.pem

Saludos!

-- 
Mauricio Vergara Ereche
about.me/mave
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20181220/f7e19735/attachment.html>