13 марта 2017 года – ICANN предлагает сетевым операторам и другим заинтересованным сторонам испытательную площадку, позволяющую убедиться в готовности их систем к процессу автоматизированного обновления в рамках предстоящей смены ключа для подписания ключей (KSK) в составе расширений безопасности системы доменных имен (DNSSEC). Обновление ключа KSK в настоящее время запланировано на 11 октября 2017 года.
«На сегодняшний день семьсот пятьдесят миллионов человек используют сопоставители для валидации DNSSEC, которые могут быть затронуты обновлением ключа KSK», – заявил Мэтт Ларсон (Matt Larson), вице-президент ICANN по исследовательской работе. «Платформа для тестирования – это простой способ для операторов убедиться, что их инфраструктура поддерживает возможность развертывания без вмешательства оператора».
Интернет-провайдерам, операторам сетей и другим сторонам, способствовавшим процедуре проверки DNSSEC, необходимо ввести в свои системы новый KSK. Это можно сделать одним из двух способов:
- Оператор может настроить новый ключ для подписания ключей вручную, получив новый KSK для корневой зоны на веб-сайте iana.org по адресу https://www.iana.org/dnssec/files.
- Оператор может активировать функцию, имеющуюся во многих ресурсах валидации, которая автоматически обнаруживает и настраивает новый KSK корневой зоны в качестве ключа для подписания ключей, и в этом случае никаких действий предпринимать не требуется.
Чтобы проверить готовность своих систем, посетите сайт go.icann.org/KSKtest.
KSK распространяется среди всех операторов, осуществляющих проверку DNSSEC, и настраивается ими. Если операционные распознаватели, использующие DNSSEC, не будут иметь новый ключ на момент обновления KSK, конечные пользователи, зависящие от этих распознавателей, столкнутся с ошибками и не смогут получать доступ к интернету. Необходимы осторожные и скоординированные усилия, чтобы обновление не помешало обычной деятельности.
Дополнительная информация: www.icann.org/kskroll.