About ICANN
- Acronyms and Terms
- Courses and Learning
- ICANN for Beginners
- Participate
- President's Corner
- ICANN Management Organization Chart
- Staff
- Careers
- In Focus
- Media Resources
Board Activities and Meetings
Accountability
- Accountability Mechanisms
- Reviews
- Expected Standards of Behavior
- Employee Practices and Resources
- Enhancing ICANN Accountability – Work Stream 2 Implementation
Governance
- Governance Documents
- Evolving ICANN’s MSM
- Agreements
- Annual Reports
- Financials
  - Financial Reports
  - Policies, Guidelines and Procedures
- Planning
  - Strategic Plan
- Presentations
- RFPs
- Litigation
- Newsletter
- Correspondence
  - 2023
  - 2022
  - 2021
  - 2020
  - 2019
  - 2018
  - 2017
  - 2016
  - 2015
  - 2014
  - 2013
  - 2012
  - 2011
  - 2010
  - 2009
  - 2008
  - 2007
  - 2006
  - 2005
  - 2004
  - 2003
  - 2002
  - 2001
  - 2000
  - 1999
  - 1998
- Quarterly Reports
Groups
- 2023 ICANN CEO Search Committee
- RSSAC
  - Charter
- SSAC
- GAC
- At-Large
- ASO
- ccNSO
- GNSO
- Technical Liaison Group
  - Technical Experts Group (TEG)
- NomCom
  - Past NomComs
- Customer Standing Committee
- Root Zone Evaluation Review Committee (RZERC)
Business
Civil Society
Complaints Office
- Complaints Report
Domain Name System Abuse
Contractual Compliance
- About
- Programs
- Complaint Submission & Learn More
- Reporting & Performance Measurement
Registrars
- Accreditation Agreement
  - Global Amendments
    - 2024 Global Amendment to the RAA
    - 2023 Global Amendment to the RAA
- Registrar Library
- News & Communications
- How to Become a Registrar
- Changes to Existing Accreditation
- Privacy and Proxy Service Providers
- Registrar Resources
Registry Operators
- Advisories & Consensus Policies
  - Advisories
  - Consensus Policies
    - Registration Data Policy
      - Registration Data Policy Implementation Resources
    - Registry Service Evaluation Policy (RSEP)
- News & Events
- Registry Agreements
  - Global Amendments
- Registry Resources
- Services for Registry Operators
Domain Name Registrants
- About Domain Names
- ICANN Policies
- Registration Data Policies
  - WHOIS and Registration Data Directory Services
    - The Domain Name Registration Process
      - Using Domain Name Registration Data
      - Keeping Registration Data Accurate
    - Access and the Evolution of the WHOIS System
- Domain Name Industry
- Registering Domain Names
- Managing Domain Names
  - Contact Information and WDRP
  - Securely Managing Your Domain Name
- Transferring Domain Names
- Renewing Domain Names
- Rights and Responsibilities
- Spam, Phishing, and Website Content
- Trademark Infringement
GDS Metrics
Identifier Systems Security, Stability and Resiliency (OCTO IS-SSR)
- IS-SSR Team Blogs
- Security Terminology
- Document Archive
ccTLDs
- Background Materials
- Agreements
- Delegation
- Root Zone Database
- Model MOU
- Workshops
- ICANN and ISO
Internationalized Domain Names
- Root Zone Label Generation Rules (LGR)
- IDN Variant TLD Implementation
- LGR Toolset
- IDN ccTLD Fast Track
- IDN Implementation Guidelines
- Second-Level LGR Reference
- Resources
- Announcements and Blogs Posts
New gTLD Program Next Round
Universal Acceptance Initiative
- Make your systems UA-ready
- Universal Acceptance Steering Group (UASG)
- UA Training
- UA Day
- UA Readiness Evaluations
- Announcements and Blogs Posts
Policy
- Policy Mission
- Policy Staff Goals
- Presentations
- Global Addressing
- Policy Updates
Operational Design Phase (ODP)
Implementation
Public Comment
- Open
- Upcoming
- Archive
Root Zone KSK Rollover
Technical Functions
- Tech Day Archive
ICANN Locations
- Report Security Issues
- PGP Keys
- Certificate Authority
- Registry Liaison
- Ombudsman
I Need Help
- Dispute Resolution
- Domain Name Dispute Resolution
- Name Collision
- Registrar Problems
- Whois Data Correction
- Independent Review Process
- Request for Reconsideration
- Document

Revisión de los anclajes de confianza actuales en los resolutores de validación del DNS

Esta página está disponible en:

Este documento ha sido traducido a varios idiomas como información únicamente. El texto original y válido (en inglés) se puede obtener en: https://www.icann.org/dns-resolvers-checking-current-trust-anchors

Esta página está destinada a los administradores de resolutores del DNS (en ocasiones, denominados "resolutores recursivos") que deseen asegurarse de que están utilizando el último anclaje de confianza para la validación de DNSSEC. Si ejecuta un resolutor de este tipo y no está seguro de si su resolutor estará listo para el traspaso de KSK, puede utilizar las instrucciones que se incluyen aquí para asegurarse de tener el último anclaje de confianza.

Hay un documento complementario que describe cómo obtener la actualización de los últimos anclajes de confianza; puede encontrarlo aquí. Puede encontrar más información sobre el traspaso de KSK aquí.

La información que aquí se incluye es necesaria únicamente si su resolutor de DNS está validando DNSSEC. La ICANN recomienda la validación de DNSSEC donde se considere pertinente, pero si aún no está validando DNSSEC, no necesita las instrucciones que se proporcionan aquí.

Para probar si el resolutor que opera está o no realizando la validación de DNSSEC, puede utilizar el dominio especial "dnssec-failed.org" que Comcast utiliza como servicio público. Este dominio especial hará que los resolutores validados deliberadamente no den una respuesta. Especifique el siguiente comando en una línea de comandos de shell:

dig @ADDRESS dnssec-failed.org a +dnssec

En ese comando, reemplace la cadena de caracteres ADDRESS con la dirección IPv4 o IPv6 del resolutor que opera.

Si la respuesta incluye lo siguiente:

;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL

el resolutor está realizando la validación de DNSSEC. (La indicación de estado de SERVFAIL aquí indica que la validación falló, lo que significa que la validación, de hecho, está ocurriendo).

Si, en cambio, la respuesta incluye lo siguiente:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR

el resolutor no está realizando la validación de DNSSEC.

El resto de esta página enumera diversas implementaciones del resolutor y las instrucciones necesarias para verificar los anclajes de confianza en ellas.

BIND

Las versiones 9.9, 9.10 y 9.11 de BIND admiten la validación de DNSSEC con la actualización automática de RFC 5011. Las últimas subversiones de estas versiones vienen con KSK2017 como parte de los anclajes de confianza.

Primero verifique que la validación de DNSSEC esté establecida en su archivo de configuración. Debería ver una línea en la sección options que indica dnssec-validation auto; o dnssec-validation yes;. Si su configuración muestra dnssec-validation yes;, usted debe cambiarla a dnssec-validation auto; y reiniciar el servidor antes de realizar los pasos que se indican a continuación.

Para generar un archivo que contenga los anclajes de confianza en uso, especifique el comando

rndc secroots

Dicho comando crea un archivo llamado named.secroots en el mismo directorio donde se crea el resto de archivos de BIND. Ese archivo debería contener dos líneas, una que diga ./RSASHA256/20326 y la otra que diga ./RSASHA256/19036. Si no tiene ambas claves, debería actualizar sus anclajes de confianza como se describe aquí.

ISC, los creadores de BIND, tienen información adicional sobre los anclajes de confianza de DNSSEC para BIND en https://kb.isc.org/article/AA-01529/169/KSK-2010-Rollover.html [kb.isc.org].

Unbound

Consulte el archivo root.key en el directorio de configuración de Unbound, que generalmente es /etc/unbound. Debería contener los registros de DNSKEY, uno que tenga el texto id = 20326 y otro que tenga el texto id = 19036; ambos registros deberían decir también ;;state=2 [ VALID ].

Si está ejecutando Unbound 1.6.2 o posterior, también puede obtener la lista de claves de confianza mediante una consulta al resolutor para el nombre trustanchor.unbound en la clase CH para el tipo de recurso TXT, como con un comando:

dig @address trustanchor.unbound -c CH -t TXT

Si el archivo no tiene ambas claves, o si alguna de las claves no tiene un estado que diga ;;state=2 [ VALID ], o si la consulta no indica ambas claves, debería actualizar sus anclajes de confianza como se describe aquí.

PowerDNS Recursor

PowerDNS Recursor versión 4 admite la validación de DNSSEC, pero aún no admite la validación de DNSSEC con la actualización automática de RFC 5011. Esto significa que para PowerDNS Recursor, necesita obtener un nuevo conjunto de anclajes de confianza cada vez que cambien los anclajes de confianza. La versión 4.0.5 y posteriores de PowerDNS Recursor vienen con KSK2017 como parte de los anclajes de confianza instalados.

En la interfaz de la línea de comando, especifique el comando:

rec_control get-tas

Debería tener una línea que incluya el texto . 20326 y otra que incluya el texto . 19036. Si no tiene ambas claves, debería actualizar sus anclajes de confianza como se describe aquí.

Resolutor Knot

El Resolutor Knot admite la validación de DNSSEC utilizando la actualización automática RFC 5011 en todas las versiones.

Consulte el archivo root.keys en el directorio de configuración del Resolutor Knot (que cambia según la distribución). Debería tener dos líneas, una que incluya el texto 0101030803010001A80020A95566BA42E886BB804CDA84E47EF56DB y otra que incluya el texto 0101030803010001ACFFB409BCC939F831F7A1E5EC88F7A59255EC5. Si no tiene ambas claves, debería actualizar sus anclajes de confianza como se describe aquí.

Windows Server 2012R2 y 2016

Windows Server, tanto 2012R2 como 2016, admite la validación de DNSSEC con la RFC 5011 automática. Los comandos debajo del usuario Windows PowerShell.

Para verificar el contenido de los anclajes de confianza, utilice:

Get-DnsServerTrustAnchor -Name .

Debería ver lo siguiente:

TrustAnchorName TrustAnchorType TrustAnchorState TrustAnchorData --------------- --------------- ---------------- --------------- . DNSKEY Valid [19036][DnsSec][RsaSha256][AwEAAagAIKlVZrpC6Ia7... . DNSKEY Valid [20326][DnsSec][RsaSha256][AwEAAaz/tAm8yTn4Mfeh...

Las etiquetas clave se muestran en TrustAnchorData. Para el anclaje de confianza raíz, debería ver dos etiquetas clave: 19036 y 20326. Ambos anclajes de confianza deberían tener su estado marcado como "Valid". Si no tiene ambas claves, debería actualizar sus anclajes de confianza como se describe aquí.

Para ver todos los puntos de confianza actuales que están activos en el servidor, utilice:

Get-DnsServerTrustPoint

Esto mostrará:

TrustPointName TrustPointState LastActiveRefreshTime NextActiveRefreshTime -------------- --------------- --------------------- --------------------- . Active 9/11/2017 8:37:02 PM 9/12/2017 8:37:02 PM

Akamai DNSi Cacheserve

Akamai DNSi Cacheserve (versiones iguales o superiores a: 7.1.2.3, 7.2.0.3, 7.2.1.2) admite la validación de DNSSEC con las claves administradas de RFC5011. Aunque la capacidad también existe en versiones anteriores, no debe utilizarse porque había un problema con el código de traspaso. Para comprobar si Akamai DNSi Cacheserve está validando, ejecute el siguiente comando:

nom-tell cacheserve resolver.mget fields='(trusted-keys managed-keys-state)'

Si hay algún campo trusted-keys o managed-keys-state en el resultado, Akamai DNSi Cacheserve está realizando la validación de DNSSEC y debe asegurarse de que se están utilizando las claves correctas. En managed-keys-state para la raíz ('.') debería ver keyid con los valores 19036 y 20326, ambos con el state configurado como valid y el campo has-validated definido con el valor True. Para las claves de confianza, debe comparar el material clave real. Para verificarlo, o para corregir las claves si no son las que se describen, consulte las instrucciones aquí.

Infoblox NIOS

Infoblox NIOS admite la validación de DNSSEC, pero aún no admite la validación de DNSSEC con la actualización automática de RFC 5011. Esto significa que para Infoblox NIOS, necesita configurar un nuevo conjunto de anclajes de confianza cada vez que cambien los anclajes de confianza.

Los pasos para verificar los anclajes de confianza actuales en NIOS son:

Inicie sesión en la interfaz gráfica de NIOS
Vaya a Administración de datos → DNS
Haga clic en "Propiedades de cuadrícula del DNS" desde la barra de herramientas
Active "Modo avanzado"
Seleccione la pestaña "DNSSEC"
Desplácese hacia abajo hasta "Anclajes de confianza"
Todos los anclajes de confianza configurados aparecerán en la tabla "Anclajes de confianza". Busque una entrada con "." en la columna "Zona" y una marca en la columna "Punto de entrada seguro". (Si no existe dicho anclaje de confianza, no se configura ninguna clave para la firma de la llave de la zona raíz). Coloque el mouse sobre el valor en la columna "Clave pública" para ver el valor completo.

Si se verifica desde el nivel de miembro:

Inicie sesión en la interfaz gráfica de NIOS
Vaya a Administración de datos → DNS → Miembros/Servidores
Seleccione el servidor del DNS
Haga clic en "Editar"
Active "Modo avanzado"
Seleccione "DNSSEC"
Desplácese hacia abajo hasta "Anclajes de confianza"
Todos los anclajes de confianza configurados aparecerán en la tabla "Anclajes de confianza". Busque una entrada con "." en la columna "Zona" y una marca en la columna "Punto de entrada seguro". (Si no existe dicho anclaje de confianza, no se configura ninguna clave para la firma de la llave de la zona raíz). Coloque el mouse sobre el valor en la columna "Clave pública" para ver el valor completo.

Para distinguir entre la clave para la firma de la llave de la zona raíz antigua y la nueva, la clave para la firma de la llave de la zona raíz antigua aparecerá como:

AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0Ezr AcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf 5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMj JPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmR LKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=

La nueva (actual) clave para la firma de la llave de la zona raíz aparecerá como:

AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOL AJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kv ArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3Eg VLrjyBxWezF0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+eoZG+SrDK6nWe L3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfd RUfhHdY6+cn8HFRm+2hM8AnXGXws9555Kr UB5qihylGa8subX2Nn6UwNR1AkUTV74bU=