Hej, Enligt DPS för .SE [1] kapitel 8 accepteras RSASHA1-NSEC3-SHA1 som algorithm i Registry. Samtidigt kan jag läsa på [2]: "SHA-1 digest och algoritm accepteras inte längre. Detta påverkar inte befintliga DS-poster med SHA-1." Vet någon vad som var anledningen till denna förändring? Och hur får domäninnehavarna veta detta när det inte står i DPSen. Jag fick idag en fråga från en kund som försökte rulla sin KSK och upptäckte att DS för RSASHA1-NSEC3-SHA1 inte längre accepteras. Självklart borde de byta algorithm till något modernare, men det vill man nog göra planerat. jakob [1] https://internetstiftelsen.se/app/uploads/2019/02/se-dnssec-dps-eng.pdf via https://internetstiftelsen.se/en/domains/tech-tools/dnssec/ [2] https://support.registry.se/en/news/posts/info-om-ny-epp-server-information-...
Alla registrar är informerad om detta via nyhetsbrev upp till flera gångar Stödj för SHA-1 blev avsluttad vid årskiftet Blame autocorrect for any strange answers
On 25 Aug 2022, at 21:08, Jakob Schlyter via Ns.se <ns.se@lists.iis.se> wrote:
Hej,
Enligt DPS för .SE [1] kapitel 8 accepteras RSASHA1-NSEC3-SHA1 som algorithm i Registry. Samtidigt kan jag läsa på [2]:
"SHA-1 digest och algoritm accepteras inte längre. Detta påverkar inte befintliga DS-poster med SHA-1."
Vet någon vad som var anledningen till denna förändring? Och hur får domäninnehavarna veta detta när det inte står i DPSen.
Jag fick idag en fråga från en kund som försökte rulla sin KSK och upptäckte att DS för RSASHA1-NSEC3-SHA1 inte längre accepteras. Självklart borde de byta algorithm till något modernare, men det vill man nog göra planerat.
jakob
[1] https://internetstiftelsen.se/app/uploads/2019/02/se-dnssec-dps-eng.pdf via https://internetstiftelsen.se/en/domains/tech-tools/dnssec/ [2] https://support.registry.se/en/news/posts/info-om-ny-epp-server-information-... -- Ns.se mailing list Ns.se@lists.iis.se https://lists.iis.se/mailman/listinfo/ns.se
On 2022-08-26 at 05:01, Benny Samuelsen wrote:
Alla registrar är informerad om detta via nyhetsbrev upp till flera gångar
Stödj för SHA-1 blev avsluttad vid årskiftet
- Vilka algoritmer som stöds av Registry för .SE och .NU deklareras i DPS. - I senaste versionen av DPS (uppdaterad i oktober 2022) finns nyckelalgoritm RSASHA1-NSEC3-SHA1 (7) listad (DPS kapitel 8). - Uppdateringar till DPS skall, per DPS kapitel 2.1, annonseras till domäninnehavarna via dnssec-announce@lists.iis.se (vilket gjordes i oktober 2021). jakob
Hej alla! Vi har konstaterat att DPS inte blev uppdatera vid justeringen av Registry systemet. Vi beklagar detta. Vi kommer så snart som möjligt att uppdatera och publicera denna. Mvh jan -- Jan Säll System manager, The Swedish Internet Foundation https://www.internetstiftelsen.se/en/ On 2022-08-26, 08:05, "Ns.se on behalf of Jakob Schlyter via Ns.se" <ns.se-bounces@lists.iis.se on behalf of ns.se@lists.iis.se> wrote: On 2022-08-26 at 05:01, Benny Samuelsen wrote: > Alla registrar är informerad om detta via nyhetsbrev upp till flera gångar > > Stödj för SHA-1 blev avsluttad vid årskiftet - Vilka algoritmer som stöds av Registry för .SE och .NU deklareras i DPS. - I senaste versionen av DPS (uppdaterad i oktober 2022) finns nyckelalgoritm RSASHA1-NSEC3-SHA1 (7) listad (DPS kapitel 8). - Uppdateringar till DPS skall, per DPS kapitel 2.1, annonseras till domäninnehavarna via dnssec-announce@lists.iis.se (vilket gjordes i oktober 2021). jakob -- Ns.se mailing list Ns.se@lists.iis.se https://lists.iis.se/mailman/listinfo/ns.se
On 2022-08-26 at 12:28, Jan Säll wrote:
Vi har konstaterat att DPS inte blev uppdatera vid justeringen av Registry systemet.
Vi beklagar detta.
Vi kommer så snart som möjligt att uppdatera och publicera denna.
Tack. Jag hoppas att man i framtid kan avisera den här typen av förändringar i DPSen till domäninnehavarna i god tid. Är det algoritmer inte längre stöds bör man nog ge minst 6 månaders förvarning så att domäninnehavarna kan anpassa sina system. jakob
Vi har redan påbörjat arbetet med att se till att rutiner finns på plats och att detta inte upprepas. Givetvis så ska det publiceras på dnssec-announce listen i god tid innan. Mvh jan -- Jan Säll System manager, The Swedish Internet Foundation https://www.internetstiftelsen.se/en/ On 2022-08-26, 12:54, "Jakob Schlyter" <jakob@kirei.se> wrote: On 2022-08-26 at 12:28, Jan Säll wrote: > Vi har konstaterat att DPS inte blev uppdatera vid justeringen av Registry systemet. > > Vi beklagar detta. > > Vi kommer så snart som möjligt att uppdatera och publicera denna. Tack. Jag hoppas att man i framtid kan avisera den här typen av förändringar i DPSen till domäninnehavarna i god tid. Är det algoritmer inte längre stöds bör man nog ge minst 6 månaders förvarning så att domäninnehavarna kan anpassa sina system. jakob
participants (3)
-
Benny Samuelsen -
Jakob Schlyter -
Jan Säll