La experiencia de migrar algunos de mis subdominios DNS de uso privado a ECDSAP256SHA256 en 2020, tal y como describo en DNSSEC: Migración a ECDSAP256SHA256 en algunos de mis dominios, ha sido muy indolora y positiva. Sin embargo a la hora de migrar el dominio DNS jcea.es entero, el tema de la compatibilidad sigue sobre la mesa.

Hay novedades recientes documentadas en DNSSEC: enlaces interesantes (20220611), como que la mitad de los dominios DNS protegidos por DNSSEC en Holanda usan ya ECDSAP256SHA256, o que el registrador francés .fr acaba de migrar a ECDSAP256SHA256.

Parece que hay consenso en que usar ECDSAP256SHA256 en DNSSEC es el estado del arte actual y que debería funcionar en cualquier cosa que tenga menos de diez años (si tiene más de diez años, o no soporta DNSSEC en absoluto o, sencillamente, dejará de validar DNSSEC, como si el dominio no estuviese firmado).

Para migrar jcea.es a ECDSAP256SHA256 voy a seguir básicamente los pasos descritos en DNSSEC: Migración a ECDSAP256SHA256 en algunos de mis dominios. Ls diferencia fundamental es que quiero editar los registros DS solo una vez, porque quiero interactuar con mi registrador DNS lo mínimo posible.

Es decir, en DNSSEC: Migración a ECDSAP256SHA256 en algunos de mis dominios añado las claves KSK y ZSK nuevas, manteniendo las claves viejas y añadiendo registros DS nuevos de forma que se admitan las claves KSK viejas y nuevas. Una vez que se propagan los cambios, puedo eliminar los registros DS, y las claves KSK y ZSK antiguos.

Ahora solo quiero hacer un cambio en los registro DS.

Los pasos son:

Leer más…

Puesta al día de algunos enlaces interesantes sobre DNSSEC para quitármelos de mis marcadores del navegador web:

• DNSSEC Deployment.

• DNSSEC and DANE Deployment Statistics.

  En el momento de escribir este artículo, el despliegue de claves KSK está igualado entre los algoritmos RSASHA256 y ECDSAP256SHA256.

• INCIBE: Guía de implantación y buenas prácticas de DNSSEC.

  Lectura imprescindible. 103 páginas de nada.

• RFC 6605: Elliptic Curve Digital Signature Algorithm (DSA) for DNSSEC.

• Resolutions for 2020: Afnic goes elliptic.

• DNSSEC: change of algorithm for the .fr zone.

  El dominio .fr ha migrado a ECDSAP256SHA256.

• DNSSEC Algorithm Use in 2022.

  El 30.5% de los dominios protegidos con DNSSEC utilizan ECDSAP256SHA256.

• DNSSEC: The Long and Bumpy Road of Algorithm Deployment.

• DNSSEC algorithms for TLDs (and everyone else).

• DNSSEC Report 2020-10 for Top 100 Banking Institutions.

• The Reality of Algorithm Agility: Studying the DNSSEC Algorithm Life-Cycle.

• RFC 8080: Edwards-Curve Digital Security Algorithm (EdDSA) for DNSSEC.

• RFC 7344: Automating DNSSEC Delegation Trust Maintenance.

• RFC 8078: Managing DS Records from the Parent via CDS/CDNSKEY.

• Announcing CDS/CDNSKEY Support.

• DNSSEC provisioning automation with CDS/CDNSKEY in the real world.

• DNSSEC algorithm rollover HOWTO.

• Parents, children, CDS/CDNSKEY records, and dnssec-cds.

• dnssec-cds.

• Automating the DNSSEC trust anchors using CDS.

El kernel actual de Ubuntu 20.04 tiene un problema catastrófico si utilizas ZRAM, como describo en zram: Decompression failed! Lo fácil sería esperar a que Ubuntu publique una actualización, pero eso puede llevar semanas. Con eventos catastróficos diarios, no me puedo permitir esperar.

Necesito compilar mi propio kernel Linux. Lo triste del asunto es que la cosa no es ni sencilla ni está bien documentada. En la web de Ubuntu y por todo internet hay infinidad de tutoriales describiendo el proceso, pero son para versiones antiguas del sistema operativo y ya no funcionan. La verdad es que he perdido bastante tiempo leyendo y experimentando, con poco éxito y bastante frustración. Mis necesidades son bastante razonables:

• Idealmente, compilar el mismo kernel oficial de Ubuntu, pero con la opción CONFIG_PGTABLE_MAPPING=y desactivada. Esto me permitiría reemplazar el kernel sin tener que preocuparme de paquetes y otras historias, y podría reutilizar también el initrd normal del sistema operativo. Eso me daría compatibilidad con todo lo que necesito, incluyendo ZFS y VirtualBox. Además, Ubuntu tiene parches en su kernel que no están disponibles en las versiones de kernel.org.

  Tendría que tener cuidado en recompilar un kernel nuevo cada vez que Ubuntu publicase una actualización que no incluyese la corrección, pero me parecía asumible.

  Ubuntu publica detalles sobre cómo descargar y compilar sus kernels, pero es un proceso complejo y que no he conseguido hacer funcionar satisfactoriamente.

• Mis necesidades son algo delicadas si en vez de intentar reutilizar componentes Ubuntu, compilo un kernel genérico por mi cuenta:

  • Debe tener compatibilidad con ZFS.
  • Debe tener compatibilidad con VirtualBox. Esto supone que los módulos VirtualBox se recompilen automáticamente cuando se publica una actualización del software, lo que no es trivial.

  El plan es utilizar este kernel personal hasta que Ubuntu publique una actualización solucionando el problema.

Leer más…