FAQ: Automatiserad DNSSEC

Vad är Automatiserad DNSSEC?

Tjänsten inför en automatiserad administration av DNSSEC-nycklar via så kallade CDS-poster. Tekniken låter innehavaren av en .se- eller .nu-domän automatisera uppdateringar av DNSSEC-konfigurationen, till exempel vid byte av signeringsnycklar eller byte av registrar.

Vem vänder sig tjänsten till?

Den vänder sig i första hand till DNS-operatörer som tillhandahåller DNS-tjänst för företag och privatpersoner. Även registrarer kan använda sig av tjänsten, men för dem är det i normalfallet enklare att genomföra önskade uppdateringar via EPP.

Jag är DNS-operatör och en av mina kunder vill byta signeringsnycklar. Hur skapar jag CDS-posten?

I vanliga fall har din namnserver stöd för att göra detta, förutsatt att du inte har en alltför gammal version. Till exempel har PowerDNS, Knot och Bind den funktionen.

Hur lång tid tar det innan en ändring genomförs?

Internetstiftelsen söker igenom zonfilerna dagligen. Ändringar för en redan signerad domän genomförs normalt inom ett dygn, medan signering av en tidigare osignerad domän tar tre dygn.

På webbsidan https://cds.registry.se/ kan du följa resultatet av scanningen för din domän.

Kan jag publicera både CDS- och CDNSKEY-poster?

Ja. CDS-posten är nödvändig för att initiera en uppdatering, medan CDSNKEY-posten är frivillig. Om den senare publiceras måste innehållet i den överensstämma med CDS-posten, annars avbryts uppdateringen.

Nu har det gått mer än en dag/tre dagar men min begärda ändring har inte genomförts. Vad beror det på?

Det är en rad villkor som alla måste vara uppfyllda för att en begärd ändring ska genomföras. Så här är några saker du bör kontrollera:

  1. Någonting kan ha ändrats, så att det inte är samma information vid alla tre sökningarna.
  2. Är domännamnets status ACTIVE?
  3. Är domännamnet får inte vara märkt med Registry Lock?
  4. Är CDS-posten korrekt skriven?
  5. Om CDNSKEY-poster har publicerats, stämmer innehållet med motsvarande CDS-poster?
  6. Systemet hanterar högst sex samtidiga CDS-poster per domännamn.
  7. Samtliga namnservrar för domännamnet måste validera DNSSEC för domänen och dessutom publicera samma CDS RR-set.

Vart kan jag vända mig med frågor om CDS?

Titta i första hand på https://cds.registry.se/, där du kan följa resultatet av scanningen av din domän. Du kan också kontakta registrarsupporten på <registry@internetstiftelsen.se>.