Revisión de los anclajes de confianza actuales en los resolutores de validación del DNS
Este documento ha sido traducido a varios idiomas como información únicamente. El texto original y válido (en inglés) se puede obtener en: https://www.icann.org/dns-resolvers-checking-current-trust-anchors
Esta página está destinada a los administradores de resolutores del DNS (en ocasiones, denominados "resolutores recursivos") que deseen asegurarse de que están utilizando el último anclaje de confianza para la validación de DNSSEC. Si ejecuta un resolutor de este tipo y no está seguro de si su resolutor estará listo para el traspaso de KSK, puede utilizar las instrucciones que se incluyen aquí para asegurarse de tener el último anclaje de confianza.
Hay un documento complementario que describe cómo obtener la actualización de los últimos anclajes de confianza; puede encontrarlo aquí. Puede encontrar más información sobre el traspaso de KSK aquí.
La información que aquí se incluye es necesaria únicamente si su resolutor de DNS está validando DNSSEC. La ICANN recomienda la validación de DNSSEC donde se considere pertinente, pero si aún no está validando DNSSEC, no necesita las instrucciones que se proporcionan aquí.
Para probar si el resolutor que opera está o no realizando la validación de DNSSEC, puede utilizar el dominio especial "dnssec-failed.org" que Comcast utiliza como servicio público. Este dominio especial hará que los resolutores validados deliberadamente no den una respuesta. Especifique el siguiente comando en una línea de comandos de shell:
dig @ADDRESS dnssec-failed.org a +dnssec
En ese comando, reemplace la cadena de caracteres ADDRESS
con la dirección IPv4 o IPv6 del resolutor que opera.
Si la respuesta incluye lo siguiente:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL
el resolutor está realizando la validación de DNSSEC. (La indicación de estado de SERVFAIL
aquí indica que la validación falló, lo que significa que la validación, de hecho, está ocurriendo).
Si, en cambio, la respuesta incluye lo siguiente:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR
el resolutor no está realizando la validación de DNSSEC.
El resto de esta página enumera diversas implementaciones del resolutor y las instrucciones necesarias para verificar los anclajes de confianza en ellas.
BIND
Las versiones 9.9, 9.10 y 9.11 de BIND admiten la validación de DNSSEC con la actualización automática de RFC 5011. Las últimas subversiones de estas versiones vienen con KSK2017 como parte de los anclajes de confianza.
Primero verifique que la validación de DNSSEC esté establecida en su archivo de configuración. Debería ver una línea en la sección options
que indica dnssec-validation auto;
o dnssec-validation yes;
. Si su configuración muestra dnssec-validation yes;
, usted debe cambiarla a dnssec-validation auto;
y reiniciar el servidor antes de realizar los pasos que se indican a continuación.
Para generar un archivo que contenga los anclajes de confianza en uso, especifique el comando
rndc secroots
Dicho comando crea un archivo llamado named.secroots
en el mismo directorio donde se crea el resto de archivos de BIND. Ese archivo debería contener dos líneas, una que diga ./RSASHA256/20326
y la otra que diga ./RSASHA256/19036
. Si no tiene ambas claves, debería actualizar sus anclajes de confianza como se describe aquí.
ISC, los creadores de BIND, tienen información adicional sobre los anclajes de confianza de DNSSEC para BIND en https://kb.isc.org/article/AA-01529/169/KSK-2010-Rollover.html [kb.isc.org].
Unbound
Consulte el archivo root.key
en el directorio de configuración de Unbound, que generalmente es /etc/unbound
. Debería contener los registros de DNSKEY, uno que tenga el texto id = 20326
y otro que tenga el texto id = 19036
; ambos registros deberían decir también ;;state=2 [ VALID ]
.
Si está ejecutando Unbound 1.6.2 o posterior, también puede obtener la lista de claves de confianza mediante una consulta al resolutor para el nombre trustanchor.unbound
en la clase CH
para el tipo de recurso TXT
, como con un comando:
dig @address trustanchor.unbound -c CH -t TXT
Si el archivo no tiene ambas claves, o si alguna de las claves no tiene un estado que diga ;;state=2 [ VALID ]
, o si la consulta no indica ambas claves, debería actualizar sus anclajes de confianza como se describe aquí.
PowerDNS Recursor
PowerDNS Recursor versión 4 admite la validación de DNSSEC, pero aún no admite la validación de DNSSEC con la actualización automática de RFC 5011. Esto significa que para PowerDNS Recursor, necesita obtener un nuevo conjunto de anclajes de confianza cada vez que cambien los anclajes de confianza. La versión 4.0.5 y posteriores de PowerDNS Recursor vienen con KSK2017 como parte de los anclajes de confianza instalados.
En la interfaz de la línea de comando, especifique el comando:
rec_control get-tas
Debería tener una línea que incluya el texto . 20326
y otra que incluya el texto . 19036
. Si no tiene ambas claves, debería actualizar sus anclajes de confianza como se describe aquí.
Resolutor Knot
El Resolutor Knot admite la validación de DNSSEC utilizando la actualización automática RFC 5011 en todas las versiones.
Consulte el archivo root.keys
en el directorio de configuración del Resolutor Knot (que cambia según la distribución). Debería tener dos líneas, una que incluya el texto 0101030803010001A80020A95566BA42E886BB804CDA84E47EF56DB
y otra que incluya el texto 0101030803010001ACFFB409BCC939F831F7A1E5EC88F7A59255EC5
. Si no tiene ambas claves, debería actualizar sus anclajes de confianza como se describe aquí.
Windows Server 2012R2 y 2016
Windows Server, tanto 2012R2 como 2016, admite la validación de DNSSEC con la RFC 5011 automática. Los comandos debajo del usuario Windows PowerShell.
Para verificar el contenido de los anclajes de confianza, utilice:
Get-DnsServerTrustAnchor -Name .
Debería ver lo siguiente:
TrustAnchorName TrustAnchorType TrustAnchorState TrustAnchorData --------------- --------------- ---------------- --------------- . DNSKEY Valid [19036][DnsSec][RsaSha256][AwEAAagAIKlVZrpC6Ia7... . DNSKEY Valid [20326][DnsSec][RsaSha256][AwEAAaz/tAm8yTn4Mfeh...
Las etiquetas clave se muestran en TrustAnchorData
. Para el anclaje de confianza raíz, debería ver dos etiquetas clave: 19036 y 20326. Ambos anclajes de confianza deberían tener su estado marcado como "Valid". Si no tiene ambas claves, debería actualizar sus anclajes de confianza como se describe aquí.
Para ver todos los puntos de confianza actuales que están activos en el servidor, utilice:
Get-DnsServerTrustPoint
Esto mostrará:
TrustPointName TrustPointState LastActiveRefreshTime NextActiveRefreshTime -------------- --------------- --------------------- --------------------- . Active 9/11/2017 8:37:02 PM 9/12/2017 8:37:02 PM
Akamai DNSi Cacheserve
Akamai DNSi Cacheserve (versiones iguales o superiores a: 7.1.2.3, 7.2.0.3, 7.2.1.2) admite la validación de DNSSEC con las claves administradas de RFC5011. Aunque la capacidad también existe en versiones anteriores, no debe utilizarse porque había un problema con el código de traspaso. Para comprobar si Akamai DNSi Cacheserve está validando, ejecute el siguiente comando:
nom-tell cacheserve resolver.mget fields='(trusted-keys managed-keys-state)'
Si hay algún campo trusted-keys
o managed-keys-state
en el resultado, Akamai DNSi Cacheserve está realizando la validación de DNSSEC y debe asegurarse de que se están utilizando las claves correctas. En managed-keys-state
para la raíz ('.'
) debería ver keyid
con los valores 19036 y 20326, ambos con el state
configurado como valid
y el campo has-validated
definido con el valor True
. Para las claves de confianza, debe comparar el material clave real. Para verificarlo, o para corregir las claves si no son las que se describen, consulte las instrucciones aquí.
Infoblox NIOS
Infoblox NIOS admite la validación de DNSSEC, pero aún no admite la validación de DNSSEC con la actualización automática de RFC 5011. Esto significa que para Infoblox NIOS, necesita configurar un nuevo conjunto de anclajes de confianza cada vez que cambien los anclajes de confianza.
Los pasos para verificar los anclajes de confianza actuales en NIOS son:
- Inicie sesión en la interfaz gráfica de NIOS
- Vaya a Administración de datos → DNS
- Haga clic en "Propiedades de cuadrícula del DNS" desde la barra de herramientas
- Active "Modo avanzado"
- Seleccione la pestaña "DNSSEC"
- Desplácese hacia abajo hasta "Anclajes de confianza"
- Todos los anclajes de confianza configurados aparecerán en la tabla "Anclajes de confianza". Busque una entrada con "." en la columna "Zona" y una marca en la columna "Punto de entrada seguro". (Si no existe dicho anclaje de confianza, no se configura ninguna clave para la firma de la llave de la zona raíz). Coloque el mouse sobre el valor en la columna "Clave pública" para ver el valor completo.
Si se verifica desde el nivel de miembro:
- Inicie sesión en la interfaz gráfica de NIOS
- Vaya a Administración de datos → DNS → Miembros/Servidores
- Seleccione el servidor del DNS
- Haga clic en "Editar"
- Active "Modo avanzado"
- Seleccione "DNSSEC"
- Desplácese hacia abajo hasta "Anclajes de confianza"
- Todos los anclajes de confianza configurados aparecerán en la tabla "Anclajes de confianza". Busque una entrada con "." en la columna "Zona" y una marca en la columna "Punto de entrada seguro". (Si no existe dicho anclaje de confianza, no se configura ninguna clave para la firma de la llave de la zona raíz). Coloque el mouse sobre el valor en la columna "Clave pública" para ver el valor completo.
Para distinguir entre la clave para la firma de la llave de la zona raíz antigua y la nueva, la clave para la firma de la llave de la zona raíz antigua aparecerá como:
AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0Ezr AcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf 5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMj JPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmR LKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
La nueva (actual) clave para la firma de la llave de la zona raíz aparecerá como:
AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOL AJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kv ArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3Eg VLrjyBxWezF0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+eoZG+SrDK6nWe L3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfd RUfhHdY6+cn8HFRm+2hM8AnXGXws9555Kr UB5qihylGa8subX2Nn6UwNR1AkUTV74bU=