Este año fui seleccionado para ser uno de los TCR de ICANN, los Representantes de Confianza de la Comunidad, para participar de la ceremonia de la firma de la raíz del DNS. Mi rol en particular es ser Criptographic Officer, responsable de custodiar 1 de las 7 llaves que permiten acceder a la KSK.

En un artículo anterior escribí más detalles introductorios de qué es esta ceremonia, por qué se firma la raíz del DNS, cuál es mi labor, etc.

Durante la ceremonia número 51, realizada a fines de noviembre de 2023 en las instalaciones de la coste Este de Estados Unidos, se realizó la firma de las ZSK del primer semestre de 2024, que es la actividad habitual y normal. Además se aprovechó de agregar dos nuevos dispositivos HSM, para aprovechar de renovar los más antiguos que cumplieron el ciclo de vida del fabricante.

Read more …

Este año fui seleccionado para ser uno de los TCR de ICANN, los Representantes de Confianza de la Comunidad, para participar de la ceremonia de la firma de la raíz del DNS. Mi rol en particular es ser Criptographic Officer, responsable de custodiar 1 de las 7 llaves que permiten acceder a la KSK.

En este artículo quiero explicar de qué se trata esta labor, orientado a gente sin conocimientos técnicos profundos en DNS/DNSSEC.

Read more …

Today I was asked for a way of reversing an IPv6 address. We all know that, unlike IPv4, the IPv6 addresses are hard to reverse, because you need to dot-separate each “nibble” (4 bits, an hexadecimal single character), obtaining a domain name of 34 levels depth! (32 plus 2 of the ip6.arpa suffix).

I always use “dig” for this, but I also tried two more, just for research purposes!

Surely there’re scripts and tools that make it a simple command, but using what I have in hand, how hard could it be using my IDE of choice, vi?

That’s 45 seconds of work! (and to be fair, is vi with some linux base commands)

Next I used a library in perl, Net::IP:

perl -MNet::IP -E ’$i=new Net::IP(“2800:3f0:4003:c03::6a”); say $i->reverse_ip;’

A surprising 24 seconds mark!

And finally, my tool of choice: sending a dig query with -x. It doesn’t matter the answer, just the “question section” line:

And of course dig is the undisputed winner, with 4 seconds ;)

UPDATE: of course it had to be a better tool and didn’t know! Thanks to JPMens on Mastodon now I know of “arpaname”, which just accepts a number and gives the reverse almost instantaneously (I didn’t like the uppercasing though, so had to pipe it to “awk ’{print tolower($0)}’” to have an equivalent output).

When deciding to sign a zone with DNSSEC, one of the initial decisions is which “deny” system to use. There are currently two, the original and simpler called “NSEC”, and a later one that is much more complex, called “NSEC3”. (Why is there no “NSEC2”? For the same reason that there is no IPv5).

The recommendation has always been to use NSEC3 only in special cases, generally oriented to registries (TLD) that require for legal or privacy reasons to keep the list of subdomains secret. NSEC3 is also attractive for this type of records because it allows you to partially sign your zone, using the opt-out technique, which allows you to gradually grow in zone and record size, as subdomains activate DNSSEC, sacrificing a little security.

But hey, each administrator has the reasons and decides which technique he will use.

Read more …

En el momento de decidir firmar una zona con DNSSEC, una de las decisiones iniciales es qué sistema de “negación” se utilizará. Existen dos actualmente, la original y más simple llamada “NSEC”, y una posterior que es mucho más compleja, llamada “NSEC3”. (¿Por qué no hay “NSEC2″? Por la misma razón  que no hay IPv5).

La recomendación siempre ha sido utilizar NSEC3 solo en casos especiales, generalmente orientado a registros (TLD) que requieren por razones legales o de privacidad mantener la lista de subdominios en forma secreta. También NSEC3 es atractivo para este tipo de registros porque permite hacer firma parcial de su zona, utilizando la técnica opt-out, que permite ir creciendo en tamaño de zona y de registros en forma gradual, a medida que los subdominios van activando DNSSEC, sacrificando un poco de seguridad.

Read more …