<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hola!<div><br></div><div>Aquéllos que ocupan unbound como resolver para hacer validación DNSSEC, se sugiere que revisen si sus sistemas están funcionando como es esperado.</div><div><br></div><div>Dentro de Unbound, hay un binario llamado &quot;unbound-anchor&quot; que ocupa los métodos descritos en el RFC7958 y hace el trabajo de realizar la validación de las llaves DNSKEY obtenidas de la raíz en caso de que no existan. Su creación fue hecho para facilitar los rollovers con el método descrito en el RFC5011 (tal como el que ha ocurrido en la zona raíz durante este año). Si este software tiene problemas, puede entorpecer la resolución DNSSEC y potencialmente causar pérdidas de servicio en aquellos clientes que ocupen ese servicio.</div><div><br></div><div>Cómo revisar?</div><div><br></div><div># Parte 1: Revisar si HOY tienen ambas llaves DNSKEY</div><div>unbound-anchor -l</div><div>(debería mostrar llaves 19036 y 20326, más un certificado)</div><div><br></div><div># Parte 2: Verificar que las llaves son válidas:</div><div>unbound-anchor -vF</div><div>(mensaje en la línea final debería decir: &quot;success: the anchor has been updated using the cert&quot;)</div><div><br></div><div>Si hasta este punto, todo está bien... entonces su sistema está correcto y nada más hay que hacer :-)</div><div><br></div><div>...sino:</div><div><br></div><div># Parte 3: Si arroja el error &quot;PKCS7 signature failed&quot; o dice &quot;/etc/unbound/icannbundle.pem: No such file or directory&quot;, se puede arreglar con:</div><div>cd /etc/unbound</div><div>wget <a href="https://data.iana.org/root-anchors/icannbundle.pem">https://data.iana.org/root-anchors/icannbundle.pem</a></div><div><br></div><div>Saludos!<br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><span style="font-size:12.8px">Mauricio Vergara Ereche</span><br></div><div><a href="http://about.me/mave" target="_blank">about.me/mave</a></div><div><br></div></div></div></div></div></div></div></div></div></div></div>