<div dir="ltr">Thank You!<br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><br><br><table border="0" cellspacing="0" cellpadding="0" width="470" style="color:rgb(136,136,136);width:470px"><tbody><tr valign="top"><td style="padding-left:10px;width:10px;padding-right:10px"><img src="https://drive.google.com/a/6by7.net/uc?id=1MbX6WRexHx_K4HtZlypX8s0LJ0C3Oog0&export=download" width="96" height="96"><font color="#888888"><br></font></td><td style="border-right:1px solid rgb(69,102,142)"></td><td style="text-align:initial;font-stretch:normal;line-height:normal;padding:0px 10px"><div><font color="#000000" face="arial narrow, sans-serif" size="1"><b>Paschal Masha</b></font></div><div><font color="#444444" face="arial narrow, sans-serif" size="1">Lead Network Engineer</font></div><div><font size="1" color="#444444" face="arial narrow, sans-serif"><span style="text-align:initial">6x7 Networks | +254735071089</span></font></div><div><span style="color:rgb(68,68,68);font-family:"arial narrow",sans-serif;font-size:x-small;text-align:initial">Time Zone:GMT+3</span></div></td></tr></tbody></table></div></div></div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Nov 20, 2020 at 5:09 PM Job Snijders <<a href="mailto:job@ntt.net">job@ntt.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Dear all,<br>
<br>
I'd like to introduce another tool to inspect RPKI data... the<br>
rpki-client console! Comes with an authentic 90s look & feel :-)<br>
<br>
The Frontpage - <a href="http://console.rpki-client.org/" rel="noreferrer" target="_blank">http://console.rpki-client.org/</a><br>
-----------------------------------------------<br>
On the front page you can see stdout + stderr of the most recent<br>
rpki-client run. The log shows which publication points were contacted<br>
and prints any issues encountered with specific RPKI files.<br>
<br>
Those of us publishing RPKI data should keep an eye out not to show up<br>
in this type of log with warnings or errors. For example:<br>
<br>
    rpki-client: <a href="http://cc.rg.net/rpki/RGnet-cc/1opByAd8x8R2F-SzstgaYzVXK8Q.mft" rel="noreferrer" target="_blank">cc.rg.net/rpki/RGnet-cc/1opByAd8x8R2F-SzstgaYzVXK8Q.mft</a>: mft expired on Oct 12 17:58:45 2020 GMT<br>
<br>
However, the above line might be the result of some kind of experiment someone is conducting :-)<br>
<br>
The RPKI distributed database currently is more than 120,000 (!)<br>
certificate/roa/manifest files, and only a handful of files have some<br>
kind of completeness or expiration date issue. Good job everyone! :-)<br>
<br>
The ASN specific pages - <a href="http://console.rpki-client.org/AS2914.html" rel="noreferrer" target="_blank">http://console.rpki-client.org/AS2914.html</a><br>
-------------------------------------------------------------------<br>
You can substitute the 'AS2914' portion in the URL for any ASN to see<br>
which .roa files reference the given ASN. Another example, here one can<br>
see all ROAs which authorize AS 8283 as origin: <a href="https://console.rpki-client.org/AS8283.html" rel="noreferrer" target="_blank">https://console.rpki-client.org/AS8283.html</a><br>
If you encounter a HTTP 404 error, no ROAs reference the ASN. <br>
<br>
On the 'per ASN page' you can search click the .roa files on the left<br>
side to inspect the ROA. Each object in the RPKI has a unique Subject<br>
Key Identifier (SKI). An example of a SKI is this hexadecimal identifier<br>
'06:96:B3:F7:CC:AD:55:45:A5:3A:64:32:31:2B:7F:E1:2B:7A:15:22' which<br>
maps to a filename like '<a href="http://rpki.apnic.net/member_repository/A91A4C60/B526FF74D84111E9A4521413C4F9AE02/12F0D72E7BC111EA8503D815C4F9AE02.roa" rel="noreferrer" target="_blank">rpki.apnic.net/member_repository/A91A4C60/B526FF74D84111E9A4521413C4F9AE02/12F0D72E7BC111EA8503D815C4F9AE02.roa</a>'<br>
<br>
Yeah... compared to DNS names mapping to IPv6 addresses, in the RPKI<br>
neither the path name nor the SKI are easy to remember :-)<br>
<br>
The console can show that .roa file in human readable format, just<br>
append .html: <a href="http://console.rpki-client.org/rpki.apnic.net/member_repository/A91A4C60/B526FF74D84111E9A4521413C4F9AE02/12F0D72E7BC111EA8503D815C4F9AE02.roa.html" rel="noreferrer" target="_blank">http://console.rpki-client.org/rpki.apnic.net/member_repository/A91A4C60/B526FF74D84111E9A4521413C4F9AE02/12F0D72E7BC111EA8503D815C4F9AE02.roa.html</a><br>
<br>
Every object in the RPKI is subordinate to another object (all objects<br>
are signed by a parent certificate, except the Trust Anchors). The<br>
parent is identified by the Authority Key Identifier (AKI). So one<br>
object's AKI is another object's SKI! If you click the AKI, the console<br>
brings you to the parent object, from where you can continue to explore<br>
other objects related to parent.<br>
<br>
Certificates point to Manifests, and .mft files contain the 'directory<br>
indexes' of the RPKI: <a href="http://console.rpki-client.org/rpki.apnic.net/member_repository/A91A4C60/B526FF74D84111E9A4521413C4F9AE02/nvnkN242ZTJ1x5Y1mNa0W3CvgJk.mft.html" rel="noreferrer" target="_blank">http://console.rpki-client.org/rpki.apnic.net/member_repository/A91A4C60/B526FF74D84111E9A4521413C4F9AE02/nvnkN242ZTJ1x5Y1mNa0W3CvgJk.mft.html</a><br>
>From the manifest overview you can jump to the parent, click the<br>
referenced .roa, .cer or .crl files.<br>
<br>
All directories on the webserver are 'open', except the root. This<br>
allows you to explore this RPKI cache by browsing through the filesystem<br>
directly, example: <a href="http://console.rpki-client.org/rpki.apnic.net/member_repository/" rel="noreferrer" target="_blank">http://console.rpki-client.org/rpki.apnic.net/member_repository/</a><br>
<br>
Final notes<br>
-----------<br>
The rpki-client console provides a view on *validated* RPKI data. First<br>
rpki-client runs and prunes bad files, then all HTML is generated. The<br>
console provides a view on the data as used in production Internet<br>
routers. Please note: the console's rendering is delayed by a bit over<br>
an hour compared to the real thing.<br>
<br>
Another entry point, you can use your browser's 'find on page' function<br>
to search for anything in all of it on this humongous page:<br>
<a href="http://console.rpki-client.org/roas.html" rel="noreferrer" target="_blank">http://console.rpki-client.org/roas.html</a><br>
<br>
The RPKI is very intricate collection of references, I hope this console<br>
offers another useful perspective on the tree-like structures. Enjoy!<br>
<br>
Kind regards,<br>
<br>
Job<br>
</blockquote></div>