- Door
- Arnout Veenman
- geplaatst op
- 29 januari 2010 08:03 uur
Voor het eerst is één van de DNS root zone servers gesigneerd met DNSSEC. Op dit moment is het enkel om te kijken welk effect het signeren op de werking van de root zone heeft. De eerste gesigneerde root server serveert de gesigneerde root als een DURZ (deliberately unvalidatable root zone).
De DURZ houdt in dat de root wordt gesigneerd met onbruikbare cryptografische sleutels, in plaats van met de Key Signing Key (KSK) en de Zone Signing Key (ZSK). Daardoor is het onmogelijk om de root zone als een trustanchor te gebruiken. ICANN wil op deze manier voorkomen dat men de experimentele gesigneerde root zone gaat gebruiken om onderliggende DNS-records mee te signeren en te valideren.
Stap voor stap zullen nu de andere root servers ook worden gesigneerd. Op 10 februari wordt de volgende root server gesigneerd. Daarna volgen met tussen posen van enkele weken de overige root servers gesigneerd. Op 5 mei is de laatste root server aan de beurt en zijn alle root servers gesigneerd.
Wanneer blijkt dat het signeren van de root zone op alle root servers geen problemen oplevert, zal op 1 juli dit jaar de root zone worden gesigneerd met de KSK en ZSK. Vanaf dat moment is de root zone gesigneerd en te gebruiken als trustanchor voor onderliggende DNS-records.
SIDN heeft al bekend gemaakt binnen één maand na dat de root zone is gesigneerd, ook het .nl-domein te signeren. Als het signeren van de root zone volgens plan verloopt, wordt op 1 juli 1 augustus de .nl-zone gesigneerd met de root zone als trustanchor.