L'ICANN a annoncé son plan de procéder au rouleau DNSSEC KSK le 11 octobre 2018, ce qui entraînera le remplacement de KSK-2017 par KSK-2010. Ce changement fait partie des meilleures pratiques de sécurité de l'ICANN dans la gestion de la clé racine pour l'infrastructure DNSSEC.
Le nouveau KSK-2017 est déjà publié dans la zone racine (.) Depuis juillet 2017. Il est important pour tout opérateur qui gère ou fournit un service de résolution DNS de s'assurer que ses résolveurs disposent de la clé de confiance appropriée. Cela permet de garantir que les noms de domaine signés DNSSEC continuent d'être validés après le basculement. Le non-respect de la configuration de la clé racine appropriée interrompra la validation DNSSEC.
Il existe deux façons de mettre à jour la configuration de votre résolveur DNS
(1) à l'aide de mises à jour automatiques: les résolveurs compatibles RFC 5011 mettront automatiquement à jour la clé racine de confiance au moment approprié
(2) manuellement: les opérateurs doivent télécharger la nouvelle clé et configurer leurs résolveurs manuellement, cela doit être fait avant le 11 octobre 2018.
Il est également important de s'assurer que tout logiciel de validation DNSSEC intégré possède la clé appropriée avant la mise en service du nouveau KSK-2017.
AFRINIC a publié deux articles de blog sur le sujet: DNSSEC New Root Zone KSK apparaît sur le DNShttps://www.afrinic.net/blog/265-dnssec-new-root-zone-ksk-appears-on-the-dns>
Attention au rollover DNSSEC en octobrehttps://www.afrinic.net/blog/357-11-october-2018-dnssec-ksk-rollover-flag-day
Si vous avez des questions ou souhaitez des éclaircissements sur le sujet, envoyez un e-mail à avec «KSK Rollover» dans la ligne d'objet. Vous pouvez également contacter AFRINIC au .
