Stretch et Opendnssec 2.0.4

L’autre truc qui n’a pas marché tout seul lors du passage de Debian 8 à 9, c’est la mise à jour de OpenDNSSEC de la version 1.4 à la 2.0.4. Il y a un fichier /usr/share/opendnssec/README.md qui décrit les étapes à suivre pour faire cette migration mais les éléments fournis dans le paquet ne sont pas à jour et ça ne fonctionne pas et je ne suis pas le premier à avoir eu le problème. »

Migrer une zone signée par dnssec

Comment faire lorsqu’on change de machine pour qu’une zone signée par dnssec fonctionne toujours correctement ? La façon logique de faire serait de prévenir la zone parent qu’on a une nouvelle clé publique KSK, celle qui signe les clés qui signent les champs d’une zone, en lui soumettant une nouvelle empreinte DS. Il faudrait ensuite après avoir mis en place tout ce qu’il faut sur la nouvelle machine attendre deux TTLs avant de modifier l’enregistrement NS, après s’être assuré que les serveurs secondaires prennent bien les modifications depuis ce nouveau serveur. »