On 11:43 28/09, Christian O'Flaherty wrote:
Hugo, la tasa de fallas será sobre la cantidad de consultas en 72hs o sobre la cantidad de servidores que consultaron?
Parece ser por 24 horas: "...but there are more resolvers reporting than we expected when we looked: 12,000 total in September or about 1400 unique per day (looking at data from six root servers total). The percentage of resolvers with only KSK-2010 is about 5% total or 6%-8% per day" http://mm.icann.org/pipermail/root-dnssec-announce/2017/000071.html
De todas formas en el OARC de mañana seguro que habrá más detalles.
Hugo
Porque seguramente habrá muchos experimentos por ahí que alguna vez habilitaron DNSSEC y que no están “sirviendo” en producción.
Cómo harán para contactarlos? Por la info de whois será difícil...
Christian
On 28 Sep 2017, at 11:04, Hugo Salgado-Hernández hsalgado@nic.cl wrote:
De todas formas creo que era la decisión que había que tomar. En otra lista Matt habla de 5 a 8% de fallas, y eso es muchísimo más que el rango que habían definido en el documento de diseño del rollover (0.5% de fallas en 72 horas).
Lo bueno es que esta nueva herramienta del "telemetry" permite saber cuáles son los resolvers que no tienen la nueva llave, y se puede actuar directamente con ellos para que lo solucionen. Sospecho que el aplazamiento tiene que ver con eso, con un plan para bajar ese 5% al mínimo. Siempre habrá lugares donde no habrá respuesta y se tendrá que seguir adelante.
Por ahora, les recomiendo mirar sus demonlog de bind y buscar estas líneas:
28-Sep-2017 09:39:07.493 general: info: _default: sending trust-anchor-telemetry query '_ta-4a5c-4f66/NULL'
4a5c es la llave 2010 y 4f66 es la nueva. Si solo dice "_ta-4a5c/NULL", entonces ese resolver solo conoce la llave antigua.
Saludos,
Hugo
On 08:56 28/09, Luciano Minuchin wrote:
En las ultimas reuniones de LACNIC y LACNOG, se hablo sobre esto y comente que muchos no estaban listo para el cambio. No me sorprenden los porcentajes de equipos que no estan actualizados, es mas diria que en la region puede ser incluso mas alto. Me toco la opoctunidad de verificar mcuhos DNS de esta parte del mundo y no estaban prepardos.
Deberiamos poder tomar algun plan de accion proactivo para ayudar a los que no saben que acciones tomar o todavia no trabajaron en este tema..
Saludos. Luciano.
El 27 de septiembre de 2017, 22:40, Carlos Marcelo Martinez Cagnazzo < carlosm3011@gmail.com> escribió:
No tengo mas datos todavia, pero esto recien fue publicado
https://www.icann.org/news/announcement-2017-09-27-en
via Newton Mail <https://cloudmagic.com/k/d/mailapp?ct=pi&cv=9.8.55&pv=11.0&sourc... https://cloudmagic.com/k/d/mailapp?ct=pi&cv=9.8.55&pv=11.0&source=email_footer_2>
LACNOG mailing list LACNOG@lacnic.net mailto:LACNOG@lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog https://mail.lacnic.net/mailman/options/lacnog
dns-esp mailing list dns-esp@listas.nic.cl mailto:dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl mailto:dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp