Обновление KSK корневой зоны
Новости о состоянии дел см. на странице, посвященной процедуре обновления ключа. Новая информация будет поступать на лист рассылки https://mm.icann.org/listinfo/ksk-rollover. При возникновении экстренных ситуаций с резолвером ознакомьтесь с информацией ниже.
Обзор
Ресурсы
Участие
Историческая справка
Проект графика работ
Оперативные планы
Коммуникационный план
Новости
1 февраля 2018 года — Публикуем проект плана по продолжению обновления KSK
18 декабря 2017 года — Новая информация по проекту обновления KSK корневой зоны
27 сентября 2017 года — Обновление KSK перенесено на более поздний срок
7 сентября 2017 года — Вниманию операторов сетей и интернет-провайдеров: определите свою готовность к обновлению ключа KSK корневой зоны!
27 октября 2016 года — Начинается обновление KSK
Технические изменения
1 февраля 2018 года — Публикуем проекта плана по продолжению обновления KSK
18 декабря 2017 года — Новая информация по проекту обновления KSK корневой зоны
17 октября 2017 года — Перенос обновления KSK корневой зоны на более поздний срок
27 сентября 2017 года — ICANN объявляет о переносе обновления KSK на более поздний срок
4 сентября 2017 года — Проверка действующих якорей доверия в распознавателях DNS с проверкой подлинности
4 сентября 2017 года — Обновление распознавателей DNS с проверкой подлинности и установка последней версии якоря доверия
11 июля 2017 года — KSK-2017 опубликован в DNS
Общие сведения
ICANN планирует обновить ключ KSK расширений безопасности системы доменных имен (DNSSEC) в корневой зоне согласно требованиям документа Методика поддержки DNSSEC на корневых серверах оператором KSK корневой зоны [TXT, 99 KБ].
Обновление KSK означает создание новой пары криптографических ключей — открытого и закрытого — и распространение нового открытого компонента среди сторон, которые управляют распознавателями с функцией проверки подлинности, в том числе среди: интернет-провайдеров; администраторов корпоративных сетей и других операторов распознавателей системы доменных имен (DNS); разработчиков программного обеспечения для распознавателей DNS; системных интеграторов; дистрибьюторов оборудования и программного обеспечения, которые устанавливают или поставляют «якорь доверия» корневой зоны. KSK используется для подписания криптографическим способом ключа подписания зоны (ZSK), который применяется специалистом по обслуживанию корневой зоны для подписания с помощью DNSSEC корневой зоны DNS интернета.
Обеспечение актуальности KSK после его обновления — важная гарантия сохранения работоспособности распознавателей для выполнения проверки DNSSEC после обновления ключа. Отсутствие действующего KSK корневой зоны означает, что распознаватели DNS с функцией проверки DNSSEC не смогут разрешать запросы DNS.
Планы обновления KSK разработаны партнерами по обслуживанию корневой зоны, каковыми являются: ICANN как оператор функций IANA, компания Verisign как специалист по обслуживанию корневой зоны, Национальное управление по телекоммуникациям и информации (NTIA) Министерства торговли США как администратор корневой зоны. Срок указанных полномочий NTIA истек 1 октября 2016 года. Планы обновления KSK были опубликованы в июле 2016 года и учитывают рекомендации Группы разработчиков процедуры обновления KSK корневой зоны [PDF, 1,01 МБ].
Ресурсы
Дополнительные сведения и ресурсы доступны на следующих страницах:
- Чего ожидать во время обновления ключа KSK корневой зоны [PDF, 172 KB]
- Краткое руководство: Подготовьте свои системы к обновлению KSK корневой зоны [PDF, 57 KB]
- Проверка действующих якорей доверия в распознавателях DNS с проверкой подлинности
- Обновление распознавателей DNS с функцией проверки подлинности и установка последней версии якоря доверия
- Рекомендации по обновлению ключа KSK DNSSEC корневой зоны [PDF, 1,01 МБ]
- Информационная страница DNSSEC
- DNSSEC для всех — руководство для начинающих (ICANN55)
- Семинар по DNSSEC (ICANN55)
- IANA — управление корневой зоной
- Рекомендация SSAC в отношении обновления ключа DNSSEC в корневой зоне [PDF, 480 КБ]
- Вебинар на тему обновления KSK корневой зоны — презентация Мэтта Ларсона (Matt Larson) [PDF, 741 КБ]
- Рассмотрение системы передачи сигналов о якорях доверия (RFC 8145) для обновления KSK в 2017 году — презентация представителя Verisign Дуэйна Уэсселса (Duane Wessels) [PDF, 895 КБ]
Участие
Задайте вопрос
Отправьте письмо на адрес globalsupport@icann.org, указав «Обновление KSK» в строке «Тема».
Посетите мероприятие
Ознакомьтесь с календарем мероприятий, чтобы узнать о предстоящих презентациях, связанных с обновлением KSK.
Воспользуйтесь социальными медиа
Присоединяйтесь к обсуждению, воспользовавшись хэштегом #KeyRoll: https://twitter.com/icann
Присоединяйтесь к обсуждению обновления KSK через лист рассылки
Подпишитесь на лист рассылки для общественного обсуждения вопросов, связанных с этой темой: https://mm.icann.org/listinfo/ksk-rollover
Распространяйте информацию
Расскажите об этой веб-странице другим людям, чтобы они смогли больше узнать об обновлении KSK и о том, как это может на них повлиять.
Историческая справка
В 2009 году партнеры по управлению корневой зоной объединили свои усилия для развертывания DNSSEC в корневой зоне. Кульминацией этой работы стала первая публикация в июле 2010 года подписанной корневой зоны с возможностью проверки подлинности.
Требования [PDF, 116 KБ] к генерированию и обслуживанию KSK корневой зоны, а также соответствующие обязанности каждого из партнеров по управлению корневой зоной были определены NTIA. Процедуры, используемые для выполнения таких требований специалистом по обслуживанию корневой зоны (Verisign) и оператором функций IANA (ICANN), были опубликованы в отдельных документах «Методика поддержки DNSSEC на корневых серверах» (DPS): DPS для службы подписания DNSSEC компании Verisign [PDF, 138 KБ] и DPS для оператора KSK корневой зоны [TXT, 99 KБ].
В июле 2010 года Договор об исполнении функций IANA между NTIA и ICANN был изменен — в его состав были включены обязанности, связанные с управлением KSK корневой зоны, и затем эти требования переносились во все последующие редакции этого договора.
В июле 2010 года также были внесены поправки в Соглашение о сотрудничестве между NTIA и Verisign, отражающие обязанности Verisign как оператора ZSK корневой зоны.
В составе Договора об исполнении функций IANA было предусмотрено положение об обновлении ключа KSK корневой зоны, однако конкретные требования, подробный график или план реализации таких действий отсутствовали. В заявлении DPS оператора KSK корневой зоны в разделе 6.5 содержится следующее утверждение, в котором определяются требования к обновлению ключа:
«Необходимо запланировать обновление каждого ключа KSK корневой зоны в рамках церемонии создания ключа при необходимости или по истечении пяти лет работы».
График работ
Указанные сроки могут меняться, исходя из практических соображений.
- 27 октября 2016 года: процесс обновления ключа KSK начинается с генерации нового KSK.
- 11 июля 2017 года: опубликование нового KSK в DNS.
- 19 сентября 2017 года: увеличение размера ответа DNSKEY, поступающего от корневых серверов.
- 1 февраля 2018 года: начало периода общественного обсуждения плана по возобновлению процесса обновления KSK (обсуждение заканчивается 2 апреля 2018 года).
- Дальнейшие сроки будут объявлены после доработки планов обновления KSK корневой зоны
Оперативные планы
- Оперативный план реализации процесса обновления ключа KSK в 2017 году [PDF, 741 КБ] содержит подробное описание действий по реализации проекта обновления ключа KSK на 2017 год, включая сроки выполнения каждого из восьми этапов. Этот документ в настоящее время обновляется с учетом объявления от 27 сентября 2017 года о переносе сроков обновления.
- План процедуры обновления ключа KSK в 2017 году в ситуации форс-мажора [PDF, 506 КБ] содержит описание возможных отклонений от оперативного плана реализации при возникновении непредвиденных событий в процессе выполнения оперативного плана. Этот документ в настоящее время обновляется с учетом объявления от 27 сентября 2017 года о переносе сроков обновления.
- План внешней проверки процедуры обновления ключа KSK в 2017 году [PDF, 516 КБ] охватывает подготовку для интернет-сообщества тестовой среды, позволяющей провести эксплуатационные испытания и оценить готовность внешних систем к участию в обновлении ключа KSK.
- План мониторинга процесса обновления ключа KSK в 2017 году [PDF, 480 КБ] содержит план контроля входящего трафика корневых серверов для наблюдения за последствиями изменения «якоря доверия».
- План тестирования систем при обновлении KSK в 2017 году [PDF, 519 КБ] описывает действия, необходимые для проверки изменений инфраструктуры ICANN в связи с обновлением KSK.
Коммуникационный план
ICANN проводит обширную работу по информированию, чтобы довести необходимые сведения до всех тех, кто в настоящее время использует KSK.
Архив новостей
3 октября 2016 года — Первый этап: ICANN создаст новый ключ DNSSec (InfoWorld)
19 сентября 2016 года — Первая замена криптографического ключа, защищающего всемирную сеть (Motherboard)
15 сентября 2016 года — ICANN готовит мир интернета к крупному обновлению безопасности DNSSEC (V3)
25 августа 2016 года — Изменяется главный ключ DNSSEC, защищающий интернет. Есть ли причины для беспокойства? (Techworld)
22 июля 2016 года — DNSSEC: обновление ключа для подписания ключей корневой зоны
20 июля 2016 года — ICANN заменит секретный ключ для интернета (Domain Incite)
21 июня 2016 года — Оптимальные методы обеспечения безопасности: проверка подлинности с использованием DNSSEC
9 мая 2016 года — Замена ключей корневой зоны системы доменных имен (DNS)