[dns-esp] Consulta dnssec

Mauricio Vergara Ereche mave en cero32.cl
Vie Oct 9 11:17:09 -03 2020


Hola Miguel,

Si el registro DS está aún en la zona padre y desactivas DNSSEC en tu
servidor autoritativo... entonces todos los resolvers que tengan habilitado
DNSSEC te van a ver como NXDOMAIN: Eso quiere decir, el comportamiento
sería el mismo que si hubieses apagado tus servidores. **NO LO HAGAS**

Si necesitas migrar servidores DNS, tienes 2 opciones... y en ambas
deberías tener que interactuar con tu zona padre.
Estas opciones suponen que tú no tienes acceso al material criptográfico de
DNSSEC y que ese servicio lo da un tercero, que no puedes manejar
personalmente:

OPCION 1: Hacer la transición dejando de usar DNSSEC durante el cambio:
1. Sacar el registro DS de tu zona padre (Si tienes un .CL hacerlo en NIC
Chile)
2. Esperar que pasen los TTL correspondientes de tu zona
3. Desactivar DNSSEC de tu proveedor
4. Esperar TTLs. Chequear en dnsviz.net (ver opcion update now cada vez que
vayas a hacer una nuevo chequeo para no ver caché antiguo)
5. Hacer la migración al nuevo proveedor/hosting (con los cambios
correspondientes de NS en la zona padre)
6. Esperar TTLs
7. Activar DNSSEC en nuevo hosting
8. Esperar TTLs. Chequear con dnsviz
9. Publicar nuevo registro DS en la zona padre.
10. Chequear en dnsviz.net
11. Desactivar el proveedor antiguo.

OPCION 2: Continuar firmando con DNSSEC durante la transición
1. Hacer una copia de la zona DNS "plana" (sin dnssec) al proveedor nuevo
2. Activar DNSSEC en el proveedor nuevo
3. Subir el nuevo registro DS a tu zona padre y agregarlo. Ojo con no
borrar el DS anterior y no mezclar los algoritmos DS (si tu DS antiguo
tenía digest 1 o 2 o ambos, mantenerlos y agregar los equivalentes del
nuevo dominio)
4. Esperar TTL de la zona padre y chequear con dnsviz.net
5. Cuando hagas la migración de servidores, actualiza los registros DNS (A,
AAAA, MX o los que sean necesarios) en ambos proveedores
6. Esperar TTLs, chequear con dnsviz
7. Actualizar los registros NS en la zona padre para hacer la transición de
un proveedor al otro en ambos proveedores.
8. Esperar TTLs, chequear con dnsviz
9. Cuando esté todo contento, eliminar el registro DS antiguo de la zona
padre... mantener el DS del proveedor nuevo.
10. Esperar TTLs, chequear con dnsviz
11. Apagar DNSSEC y el proveedor antiguo por completo.

Para la opción 2 acá hay una presentación de Matt Pounsett donde hicieron
un proceso como el que menciono: Video de la presentación
https://youtu.be/XdFwAg5R49Q (y los slides:
https://indico.dns-oarc.net/event/25/contributions/400/attachments/374/642/Inter-Operator_Transfer_of_Signed_TLDs.pdf
). Todo esto, basándose en el RFC 6781 (
https://datatracker.ietf.org/doc/rfc6781/ )

Saludos!

On Fri, Oct 9, 2020 at 6:35 AM Miguel Angel Amador via dns-esp <
dns-esp en listas.nic.cl> wrote:

> Estimados
>  Cual seria el comportamiento esperado si a mi dominio con dnssec, le
> desactivo dnssec en mis servidores dns pero no doy aviso a NIC?
>   Para saber la afectacion que podria tener una migracion de servidores
> dns.
>  Quedo atento.
>  Miguel Amador
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
>


-- 
Mauricio Vergara Ereche
about.me/mave
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.nic.cl/pipermail/dns-esp/attachments/20201009/19a51425/attachment.html>


Más información sobre la lista de distribución dns-esp