<div><div dir="auto">FYI</div><br><div class="gmail_quote"><div>---------- Forwarded message ---------<br>From: George Michaelson <<a href="mailto:ggm@apnic.net">ggm@apnic.net</a>><br>Date: Tue, 27 Feb 2018 at 05:34<br>Subject: [nznog] Removing the four stale TAL from the APNIC RPKI validation set.<br>To:  <<a href="mailto:nznog@list.waikato.ac.nz">nznog@list.waikato.ac.nz</a>><br></div><br><br>Updating RPKI trust anchor configuration<br>
-------------------------------------------------------<br>
<br>
APNIC has completed the process of transitioning from its previous Resource Public Key Infrastructure (RPKI) trust anchor arrangement to a new single trust anchor configuration.  Each RIR will publish an 'all resources' global trust anchor, under which its own regional resources (IP addresses and ASNs) will be certified. APNICs trust anchor is one of the previous five, which has been retained as the sole trust anchor  over all APNIC resource certificate products.<br>
<br>
If you are using relying-party software, such as the Dragon Research Labs RPKI Toolkit, RPSTIR or the RIPE NCC’s RPKI Validator, you are advised to update your software’s configuration to use only the current APNIC trust anchor, rather than the set of five APNIC trust anchors that were previously in use. The update is to remove four of the five: One has been retained as the current live Trust Anchor. Note: this update is not critical. However, if it is not done, the software will log or report warnings about being unable to retrieve the trust anchors that are no longer being used. All resources now validate under the single active trust anchor and no orphan products are valid under the other prior trust anchors.<br>
<br>
The current APNIC TAL is as follows:<br>
<br>
------<br>
rsync://<a href="http://rpki.apnic.net/repository/apnic-rpki-root-iana-origin.cer" rel="noreferrer" target="_blank">rpki.apnic.net/repository/apnic-rpki-root-iana-origin.cer</a><br>
<br>
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAx9RWSL61YAAYumEiU8z8<br>
qH2ETVIL01ilxZlzIL9JYSORMN5Cmtf8V2JblIealSqgOTGjvSjEsiV73s67zYQI<br>
7C/iSOb96uf3/s86NqbxDiFQGN8qG7RNcdgVuUlAidl8WxvLNI8VhqbAB5uSg/Mr<br>
LeSOvXRja041VptAxIhcGzDMvlAJRwkrYK/Mo8P4E2rSQgwqCgae0ebY1CsJ3Cjf<br>
i67C1nw7oXqJJovvXJ4apGmEv8az23OLC6Ki54Ul/E6xk227BFttqFV3YMtKx42H<br>
cCcDVZZy01n7JjzvO8ccaXmHIgR7utnqhBRNNq5Xc5ZhbkrUsNtiJmrZzVlgU6Ou<br>
0wIDAQAB<br>
------<br>
<br>
<br>
Configuring Relying Party Software<br>
-----------------------------------------------<br>
<br>
RIPE NCC RPKI Validator:  If you upgrade to RIPE validator rpki-validator-app-2.24 the correct Trust Anchor is configured.  No further work is required.<br>
<br>
Dragon Research Labs Rcynic Validator:  If you run rcynic, you need to remove all the TAL, TA or CER entries in rcynic.conf except ones which point to apnic-rpki-root-iana-origin.cer or the related TAL. If you use the trusted-certs/ directory, simply remove the four files which are named for the non-APNIC RIR as follows:<br>
<br>
cd /etc/trust-anchors # or wherever you place the TAL files<br>
rm apnic-rpki-root-ripe-origin.tal<br>
rm apnic-rpki-root-arin-origin.tal<br>
rm apnic-rpki-root-lacnic-origin.tal<br>
rm apnic-rpki-root-afrinic-origin.tal<br>
<br>
RPSTIR  To modify an installed RPSTIR system, locate the /usr/local/etc/rpstir  directory and remove all but the current live APNIC TAL.<br>
<br>
More information is in the attached PDF describing how to update the trust anchor configuration in these three popular relying-partner software systems.<br>
<br>
<br>
<br>
<br>
-George<br>
_______________________________________________<br>
NZNOG mailing list<br>
<a href="mailto:NZNOG@list.waikato.ac.nz" target="_blank">NZNOG@list.waikato.ac.nz</a><br>
<a href="https://list.waikato.ac.nz/mailman/listinfo/nznog" rel="noreferrer" target="_blank">https://list.waikato.ac.nz/mailman/listinfo/nznog</a><br>
</div></div>