[dns-esp] Aviso de utilidad pública para resolvers DNSSEC: unbound-anchor puede necesitar su atención

Hugo Salgado-Hernández hsalgado en nic.cl
Jue Dic 20 16:08:57 -03 2018 

Gracias por el reporte Mauricio!

Efectivamente pude reproducir el bug en un unbound 1.8.3 que estaba
fresquito. Lo único distinto es el path del pem que en mi caso era
/usr/local/etc/unbound

Esperemos que se corrija antes del próximo rollover ;)

Saludos,

Hugo

On 10:49 20/12, Mauricio Vergara Ereche wrote:
> Hola!
> 
> Aquéllos que ocupan unbound como resolver para hacer validación DNSSEC, se
> sugiere que revisen si sus sistemas están funcionando como es esperado.
> 
> Dentro de Unbound, hay un binario llamado "unbound-anchor" que ocupa los
> métodos descritos en el RFC7958 y hace el trabajo de realizar la validación
> de las llaves DNSKEY obtenidas de la raíz en caso de que no existan. Su
> creación fue hecho para facilitar los rollovers con el método descrito en
> el RFC5011 (tal como el que ha ocurrido en la zona raíz durante este año).
> Si este software tiene problemas, puede entorpecer la resolución DNSSEC y
> potencialmente causar pérdidas de servicio en aquellos clientes que ocupen
> ese servicio.
> 
> Cómo revisar?
> 
> # Parte 1: Revisar si HOY tienen ambas llaves DNSKEY
> unbound-anchor -l
> (debería mostrar llaves 19036 y 20326, más un certificado)
> 
> # Parte 2: Verificar que las llaves son válidas:
> unbound-anchor -vF
> (mensaje en la línea final debería decir: "success: the anchor has been
> updated using the cert")
> 
> Si hasta este punto, todo está bien... entonces su sistema está correcto y
> nada más hay que hacer :-)
> 
> ...sino:
> 
> # Parte 3: Si arroja el error "PKCS7 signature failed" o dice
> "/etc/unbound/icannbundle.pem: No such file or directory", se puede
> arreglar con:
> cd /etc/unbound
> wget https://data.iana.org/root-anchors/icannbundle.pem
> 
> Saludos!
> 
> -- 
> Mauricio Vergara Ereche
> about.me/mave

> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp

------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: no disponible
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20181220/6cbf45bd/attachment.sig>

Más información sobre la lista de distribución dns-esp