[Dnssec-announce] Förvarning om byte av nyckelsigneringsnyckel ( KSK) för .SE/Prior warning on Key signing key (KSK) rollover for .SE

Anne-Marie Eklund-Löwinder anne-marie.eklund-lowinder at iis.se
Fri Dec 17 12:51:19 UTC 2010


Information in English follow

Förvarning om byte av nyckelsigneringsnyckel (KSK) för .SE

Den KSK som har varit giltig under 2009-2010 med nyckel-id 8779 (giltig till och med 2010-12-31) kommer att tas ur bruk någon gång mellan 01.00-03.00 (svensk normaltid) den 1 januari 2011.

En ny KSK genereras och DS-post för denna publiceras i .se-zonen den 11 januari. I anslutning till detta skickas DS-posten även till IANA med begäran om publicering i rotzonen och den bör vara tillgänglig kort tid därefter. Mer information kommer att skickas ut när DS-posten finns i rotzonen.

Mellan den 1 januari och 10 januari 2011 kommer vi endast att signera .se-zonen med den KSK som har nyckel-id 39547.

OBS! Detta är enbart viktigt för den som av någon anledning inte validerar DNSSEC med rotnyckeln. Den som endast använder rotnyckeln som tillitsankare (TA) behöver inte vidta några åtgärder. Vi rekommenderar att man enbart använder rot som TA.

Detta är sista gången vi aviserar en planerad rullning av KSK. För en smärtfri drift av DNSSEC så rekommenderar vi att man använder Bind 9.7 eller senare med automatisk uppdatering av rotnyckeln. Instruktioner för detta finns bl.a. här:

http://www.isc.org/community/blog/201007/using-root-dnssec-key-bind-9-resolvers

Om ni valt att använda .SE som TA bör ni konfigurera nyckeln för 2010-2011 (nyckel-id = 39547) i er resolver senast 2010-12-31.

se.	IN DNSKEY 257 3 5 (
			AwEAAbaxTum9L7z1DmPiXPk0QZ2/qUM3to210Caey/yc
			ZuvQ8Mh/dgGpwBmyZB9xZSkaCLa2Mw6pmDLrjK9hWOff
			q5PXRVm9RrcA/eIEBEvbQzkY5sFkWAczNAs58Oscxi+/
			Gd5KfuVi3lJpYgJwwa2JB4doZ00IXywcCn0VTz0Hsl/l
			qpA2Bqj+e+ATzA5hWyiNyHPjiYvyMCkSXTiGgFVVuG8H
			3N6Us8uSABuO2UoFQeQi6YikIiCbf1FfCzr4vBIRXW6M
			aDs8kqAAadKjLk3i39dviL/YeyGUvq9Dan9PsvkwQejK
			N/7J0yCr2nYXfwGGCHkcBKkagv79EaRlZigUCp8=
			) ; key id = 39547

Information om .SE:s DNSSEC-nycklar finns även på https://www.iis.se/domaner/dnssec/publika-nycklar-for-dnssec/.

Vi råder er att prenumerera på meddelanden från dnssec-announce at lists.nic.se för att få information om nyckelbyten och andra viktiga förändringar. För att prenumerera, gå till http://lists.iis.se/mailman/listinfo/dnssec-announce

Frågor kan ställas till dnssec-info at iis.se.

Anne-Marie Eklund Löwinder
Kvalitets- och säkerhetschef
.SE (Stiftelsen för Internetinfrastruktur)

Adress: Ringvägen 100
Postadress: Box 7399, 103 91 Stockholm
Växel: 08-452 35 00
Direkt: 08-452 35 17
Mobil: 0734-31 53 10
E-post: anne-marie.eklund-lowinder at iis.se
Webbplats: http://www.iis.se

Prior warning on Key signing key (KSK) rollover for .SE 

The key signing key which has been valid during 2009-2010 with key id 8779 (valid until 2010-12-31) will be removed around 01.00-03.00 (UTC+1) on January 1st, 2011.

A new KSK is generated and the DS record for that key will be published in the .se zone during January 11th, 2011. In connection to this the DS record will be sent to IANA with request of publishing in the root zone. The DS record should we available in the root zone shortly thereafter. More information will be sent out when .SE’s DS record is available in the root zone.

Between January the 1st and January the 10th we will only sign the .se zone with the KSK with key id 39547.

Note! This is only of concern to those who for some reason don’t validate DNSSEC with the root key. Those who only use the root key as trust anchor (TA) don’t need to make any arrangements. Our recommendation is to only use the root key as a TA.

This will be the last time that we announce a regular KSK key rollover. To perform a painless operation of DNSSEC we recommend the use of Bind 9.7 or later versions with automatic update of the root key. Instructions regarding this is available from: 

http://www.isc.org/community/blog/201007/using-root-dnssec-key-bind-9-resolvers

If you have choosen to use .SE as the TA you need to configure the key valid during 2010-2011 (key id = 39547) in you resolver no later than 2010-12-31.

se.	IN DNSKEY 257 3 5 (
			AwEAAbaxTum9L7z1DmPiXPk0QZ2/qUM3to210Caey/yc
			ZuvQ8Mh/dgGpwBmyZB9xZSkaCLa2Mw6pmDLrjK9hWOff
			q5PXRVm9RrcA/eIEBEvbQzkY5sFkWAczNAs58Oscxi+/
			Gd5KfuVi3lJpYgJwwa2JB4doZ00IXywcCn0VTz0Hsl/l
			qpA2Bqj+e+ATzA5hWyiNyHPjiYvyMCkSXTiGgFVVuG8H
			3N6Us8uSABuO2UoFQeQi6YikIiCbf1FfCzr4vBIRXW6M
			aDs8kqAAadKjLk3i39dviL/YeyGUvq9Dan9PsvkwQejK
			N/7J0yCr2nYXfwGGCHkcBKkagv79EaRlZigUCp8=
			) ; key id = 39547

Information regarding .SE’s DNSSEC keys are also available from https://www.iis.se/en/domaner/dnssec/publika-nycklar-for-dnssec/

We do advice you to subscribe to the dnssec-announce at lists.nic.se mailing list to get notified about key rollovers and any other important changes.
To subscribe, go to http://lists.iis.se/mailman/listinfo/dnssec-announce

Questions may be addressed to dnssec-info at iis.se.

Anne-Marie Eklund Löwinder
Quality & Security Manager
.SE (The Internet Infrastructure Foundation)

PO Box 7399, SE-103 91 Stockholm, Sweden
Visits: Ringvägen 100 A
Switchboard: +46(0)8-452 35 00
Direct: +46(0)8-452 35 17
Mobile: +46(0)734-31 53 10
E-mail: anne-marie.eklund-lowinder at iis.se
Website: http://www.iis.se


-------------- next part --------------
A non-text attachment was scrubbed...
Name: PGP.sig
Type: application/pgp-signature
Size: 183 bytes
Desc: not available
URL: <http://lists.iis.se/pipermail/dnssec-announce/attachments/20101217/1a539d18/attachment.sig>


More information about the DNSSEC-Announce mailing list