[dns-esp] Aviso de utilidad pública para resolvers DNSSEC: unbound-anchor puede necesitar su atención
Hola!
Aquéllos que ocupan unbound como resolver para hacer validación DNSSEC, se sugiere que revisen si sus sistemas están funcionando como es esperado.
Dentro de Unbound, hay un binario llamado "unbound-anchor" que ocupa los métodos descritos en el RFC7958 y hace el trabajo de realizar la validación de las llaves DNSKEY obtenidas de la raíz en caso de que no existan. Su creación fue hecho para facilitar los rollovers con el método descrito en el RFC5011 (tal como el que ha ocurrido en la zona raíz durante este año). Si este software tiene problemas, puede entorpecer la resolución DNSSEC y potencialmente causar pérdidas de servicio en aquellos clientes que ocupen ese servicio.
Cómo revisar?
# Parte 1: Revisar si HOY tienen ambas llaves DNSKEY unbound-anchor -l (debería mostrar llaves 19036 y 20326, más un certificado)
# Parte 2: Verificar que las llaves son válidas: unbound-anchor -vF (mensaje en la línea final debería decir: "success: the anchor has been updated using the cert")
Si hasta este punto, todo está bien... entonces su sistema está correcto y nada más hay que hacer :-)
...sino:
# Parte 3: Si arroja el error "PKCS7 signature failed" o dice "/etc/unbound/icannbundle.pem: No such file or directory", se puede arreglar con: cd /etc/unbound wget https://data.iana.org/root-anchors/icannbundle.pem
Saludos!
Gracias por el reporte Mauricio!
Efectivamente pude reproducir el bug en un unbound 1.8.3 que estaba fresquito. Lo único distinto es el path del pem que en mi caso era /usr/local/etc/unbound
Esperemos que se corrija antes del próximo rollover ;)
Saludos,
Hugo
On 10:49 20/12, Mauricio Vergara Ereche wrote:
Hola!
Aquéllos que ocupan unbound como resolver para hacer validación DNSSEC, se sugiere que revisen si sus sistemas están funcionando como es esperado.
Dentro de Unbound, hay un binario llamado "unbound-anchor" que ocupa los métodos descritos en el RFC7958 y hace el trabajo de realizar la validación de las llaves DNSKEY obtenidas de la raíz en caso de que no existan. Su creación fue hecho para facilitar los rollovers con el método descrito en el RFC5011 (tal como el que ha ocurrido en la zona raíz durante este año). Si este software tiene problemas, puede entorpecer la resolución DNSSEC y potencialmente causar pérdidas de servicio en aquellos clientes que ocupen ese servicio.
Cómo revisar?
# Parte 1: Revisar si HOY tienen ambas llaves DNSKEY unbound-anchor -l (debería mostrar llaves 19036 y 20326, más un certificado)
# Parte 2: Verificar que las llaves son válidas: unbound-anchor -vF (mensaje en la línea final debería decir: "success: the anchor has been updated using the cert")
Si hasta este punto, todo está bien... entonces su sistema está correcto y nada más hay que hacer :-)
...sino:
# Parte 3: Si arroja el error "PKCS7 signature failed" o dice "/etc/unbound/icannbundle.pem: No such file or directory", se puede arreglar con: cd /etc/unbound wget https://data.iana.org/root-anchors/icannbundle.pem
Saludos!
-- Mauricio Vergara Ereche about.me/mave
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
-
Hugo Salgado-Hernández -
Mauricio Vergara Ereche