(Denne meldingen er en repetisjon av meldingen vi sendte ut for ett år siden. Den gangen ble rulleringen kansellert).
IANA er i gang med å bytte rot-nøkkelen (KSK) for DNSSEC-infrastrukturen. Selve nøkkelskiftet er planlagt å skje 11. oktober; da vil den nye rotnøkkelen signere DNSKEY-settet i rot-sonen. Se IANAs websider for mer informasjon om dette.
I utgangspunktet skal nøkkelendringen ha liten innvirkning på registrar- og registry-virksomheten. Norid publiserer sonene sine som før, og det samme gjør registrarene.
De som driver rekursive navnetjenere/resolvere (for intern bruk eller for kunder) med DNSSEC-validering påslått må sjekke at disse tar i bruk den nye nøkkelen (trust anchor) i konfigurasjonen.
- Resolvere som er konfigurert til å bruke algoritmen fra RFC-5011 for å holde denne informasjonen oppdatert skal allerede ha fått lagt til den nye nøkkelen i konfigurasjonen.
- Resolvere der denne informasjonen vedlikeholdes manuelt må nå få lagt inn informasjon om ny nøkkel.
- IANA publiserer også en liste over navnetjenere som via RFC-8145-telemetri har meldt at de kun har den gamle rotnøkkelen konfigurert. Det kan være lurt å gå gjennom listen for å se om noen av ens egne eller ens kunders navnetjenere er listet der.
Merk at dersom dette ikke er korrekt konfigurert til den 11. oktober, så vil validering, og dermed DNS-oppslag, mot disse navnetjenerne begynne å feile.
På IANAs websider finnes det også informasjon om hvordan kontrollere og eventuelt endre konfigurasjonen for flere forskjellige typer navnetjenerprogramvare.