[AFRINIC-Announce] Announcement of Forthcoming DNSSEC KSK Rollover

Wed Aug 22 12:59:40 UTC 2018

[Version française ci-dessous]]

Dear Colleagues,

ICANN has announced its plan to proceed with the DNSSEC KSK Roll on 11 October 2018, which will result in KSK-2017 replacing KSK-2010. This change is part of ICANN’s security best practice in managing the Root Key for the DNSSEC infrastructure. The new KSK-2017 has already been published in the root (.) zone since July 2017.

It is important for any operator who is maintaining or providing a DNS Resolution service to make sure that their resolvers have the appropriate trusted key. This is to ensure that DNSSEC-signed domain names continue to be validated following the rollover. Failure to ensure the configuration of the proper root key will break DNSSEC validation. 

There are two ways to update your DNS Resolver configuration (1) using automatic updates: RFC 5011-enabled resolvers will automatically update the trusted root key at the appropriate time (2) manually: operators should download the new key and configure their resolvers manually, this should be done before 11 October 2018. 

It is also important for to make sure that any embedded DNSSEC validating software has the appropriate key before the new KSK-2017 is put in usage.

 AFRINIC has published two blog posts on the topic:

DNSSEC New Root Zone KSK appears on the DNS

<https://www.afrinic.net/blog/265-dnssec-new-root-zone-ksk-appears-on-the-dns>

 Watch Out for the DNSSEC Rollover this October

<https://www.afrinic.net/blog/357-11-october-2018-dnssec-ksk-rollover-flag-day

If you have any questions or require clarification on the subject, send an email to <globalsupport[at]icann[dot]org> with “KSK Rollover” in the subject line. Alternatively, you can contact AFRINIC on <dnssec-ops[at]afrinic[dot]net>.

………………………

Chers collègues,

L'ICANN a annoncé son intention de procéder au renouvellement de la clé KSK du DNSSEC le 11 octobre 2018, ce qui se traduira par le remplacement du KSK-2010 par le KSK-2017. Ce changement fait partie des bonnes pratiques de sécurité de l'ICANN en matière de gestion de la zone racine pour l'infrastructure DNSSEC. La nouvelle KSK-2017 a déjà été publiée dans la zone racine (.) depuis juillet 2017. 

Il est important pour tout opérateur offrant des services de résolveurs DNS de s’assurer que ses résolveurs disposent de la clé certifiée appropriée. 

Cela permettra de s'assurer que les noms de domaine signés DNSSEC continuent à être validés suivant le renouvellement. En cas de configuration incorrecte de la zone racine, la validation DNSSEC sera interrompue. Il existe deux manières de mettre à jour la configuration  de votre résolveur DNS (1) en utilisant les mises à jour automatiques:  Les résolveurs suivant la RFC 5011 mettent à jour automatiquement  la clé racine approuvée au moment opportun, (2) manuellement, les opérateurs doivent télécharger leurs nouvelles clés et configurer leurs résolveurs manuellement, cela devrait être fait avant le 11 octobre 2018.

 Il est également important de s'assurer que tout logiciel de validation DNSSEC intégré dispose de la clé appropriée avant la mise en service du nouveau KSK-2017.  AFRINIC a publié deux articles sur le sujet:

 <https://www.afrinic.net/blog/265-dnssec-new-root-zone-ksk-appears-on-the-dns>
 <https://www.afrinic.net/blog/357-11-october-2018-dnssec-ksk-rollover-flagday> 

Si vous avez des questions ou avez besoin de précisions à ce sujet, envoyez un courrier électronique à <globalsupport[at]icann[dot]org> avec «KSK Rollover» dans la ligne d'objet. Vous pouvez également contacter AFRINIC sur <dnssec-ops[at]afrinic[dot]net>.