تغيير المفاتيح الخاصة بمنطقة جذر نظام أسماء النطاقات (DNS)

ضمان وحدة المستوى العلى لنظام أسماء النطاقات عبر أفضل ممارسات الأمان

في يوليو 2010، قامت كل من ICANN وشركة VeriSign والإدارة الوطنية الأمريكية للاتصالات والمعلومات NTIA بإضافة مستوى حماية إلى طبعة DNS العليا للإنترنت من خلال استخدام تقنية تعرف باسم DNSSEC، وهي اختصار امتدادات أمن نظام أسماء النطاقات. وقد تم تطوير هذه التقنية من أجل حماية مستخدمي الإنترنت ضد الهجمات التي تؤدي إلى قرصنة أسماء النطاقات وبعض الأنواع من الإضرار بالخوادم. علمًا بأن استخدام تقنية DNSSEC يزيد من التأكد بأن المعلومات التي يتم الحصول عليها من نظام أسماء النطاقات DNS لم يتم تعديلها خلال عملية النقل من مصدر البيانات إلى الآلة التي تطرح السؤال بالنيابة عن أي مستخدم - ويتم ذلك من خلال التوقيع والتوثيق الرقميين لبيانات DNS. ويعتمد هذا التوثيق على "مرتكز ثقة"، أو مفتاح، وهذا يرتبط بالجذر الخاص بنظام DNS.

ومن خلال أي من المفاتيح، أو كلمات المرور أو نظام الأمن، كما يجب تحديث مرتكز الثقة هذا بصفة دورية. وتماشيًا مع أفضل الممارسات، فإن الفريق الذي يعمل في ICANN بصفة مشغل وظائف IANA، بالإضافة إلى شركاء إدارة ملفات خوادم الجذر الآخرين (تعمل شركة VeriSign بصفتها مشرف الصيانة على منطقة الجذر، وأيضًا الإدارة الوطنية الأمريكية للاتصالات والمعلومات (NTIA) وتعمل بصفتها الإداري المسئول عن منطقة الجذر)، كان يعمل على الاستعداد من أجل "تدوير" أو تغيير الزوج المفتاحي التشفيري الخاص والعام وهو مفتاح التوقيع الرئيسي لمنطقة الجذر (KSK)، والجانب العام منه يعمل بصفة مرتكز الثقة لامتدادات DNSSEC الخاصة بالإنترنت. ويقصد بتدوير مفتاح التوقيع الرئيسي KSK استخراج زوج جديد بالإضافة إلى توزيع المكون العام الجديد على الأطراف التي تقوم على وضع أو توزيع أو تشغيل وحدات حل التوثيق. ويمكن النظر إلى عملية تدوير مفتاح التوقيع الرئيسي KSK كمثل عملية تغيير أقفال البيت. ففي الحالات التي تكون فيها أسماء النطاقات موقعة من DNSSEC، ففي كل مرة يحاول فيها مستخدم الإنترنت الاتصال بخادم محدد باسم نطاق، تتم تجربة المفتاح في القفل من أجل التحقق من البيانات المرتبطة باسم النطاق ذلك موثقة. وعلى الرغم من ذلك، في حالة تغيير القفل ولم يتم أيضًا تحديث المفاتيح، فلن يفتح الباب، فلن يتم حل اسم النطاق وسوف تفشل محاولة الاتصال. أما التأثير المحتمل لعملية التدوير فهو ما يميز الحاجة لإجراء توزيع واسع النطاق وملائم لمرتكز الثقة الخاص بمفتاح التوقيع الرئيسي KSK الجديد. وللتأكد من أن المجتمع على وعي بآخر المستجدات حول تدوير KSK ومرتكز الثقة الجديد الناجم عن ذلك، فقد قمنا بإنشاء هذه الصفحة للموارد صفحة الموارد هذه.

وعندما استخدم مجتمع الإنترنت امتدادات DNSSEC للمرة الأولى، فقد حدد شركاء إدارة ملفات خوادم الجذر بالتشاور مع المجتمع أنه "سيتم تدوير وتغيير مفتاح التوقيع الرئيسي KSK عبر مراسم خاصة بالمفتاح حسب المطلوب، أو بعد 5 سنوات من التشغيل". وفي حين أن بعض الناس في المجتمع رأوا ذلك باعتباره موعدًا نهائيًا لمدة خمس سنوات، فإن الإطار الزمني لتدوير مفتاح التوقيع الرئيسي KSK يجب أن يكون مشروطًا على الحقائق التشغيلية للمشهد العام للإنترنت. فعلى مدار العام الماضي أو نحوه، كانت عملية نقل دور الإشراف على IANA هي المسألة الأكثر مواجهة للجمهور من منظور الاتصالات، لكن العمل على تدوير مفتاح التوقيع الرئيسي KSK استمر بشكل متوازي. وبالانتقال إلى الأمام، وللتأكد من أن المجتمع على وعي بجميع الأعمال والعناية الواجبة حول الأنشطة الخاصة بتدوير مفتاح التوقيع الرئيسي KSK، فسوف أقدم إحاطات منتظمة حول النجاح الذي نحققه. بالإضافة إلى ذلك، فسوف نستضيف جلسات في اجتماعات ICANN والمنتديات الفنية الأخرى من أجل توفير معلومات متعمقة حول تدوير مفتاح التوقيع الرئيسي وما هي الإجراءات التي يجب على هؤلاء المعنيين القيام بها من أجل ضمان سير عملية تدوير KSK بسلاسة.

وعلى مدار الأسابيع القليلة القادمة سوف نقدم المزيد من المعلومات حول عملية تدوير وتغيير مفتاح التوقيع الرئيسي KSK، ولكن لإعطائكم فحوى ومضمون عام حول الإطار الزمني الحالي لعملية التدوير:

• أكتوبر 2016: بدء عملية الاستعداد الرئيسية الجديدة لتدوير مفتاح التوقيع الرئيسي KSK
• نوفمبر 2016: استخراج مفتاح KSK جديد
• يوليو 2017: إدراج مفتاح KSK جديد
• أكتوبر 2017: سحب مفتاح الدخول الرئيسي KSK القديم
• يناير 2018: إلغاء مفتاح الدخول الرئيسي KSK القديم
• مارس 2018: إكمال عملية تدوير مفتاح الدخول الرئيسي KSK

ومن الواضح أن هذا الإطار الزمني عرضة للتغيير إذا ما استدعت الظروف ذلك: تدوير KSK، مثل تغيير كلمة المرور الخاصة بك دوريًا، هو أفضل الممارسات، لكن يجب القيام به بعناية واهتمام فائقين لضمان أنها لا تسبب أي قطع في تشغيل نظام أسماء النطاقات DNS الخاص بالإنترنت.

وبالنسبة لمن هم مهتمون بأن يكونوا أكثر مشاركة في عملية تدوير KSK، يمكنكم المشاركة في القائمة البريدية الخاصة بالمناقشات العامة على https://mm.icann.org/listinfo/ksk-rollover أو إذا كانت لديك أسئلة، فيمكنك إرسال بريد إلكتروني بأسئلتك إلى globalsupport@icann.org على أن يكون العنوان هو "تدوير KSK".

علمًا بأن DNSSEC وتدوير KSK من المشاركات الهامة للحصول على نظام أسماء نطاقات DNS آمن وقوي. ونحن ملتزمون بالعمل عن قرب مع شركاء إدارة ملفات خوادم الجذر، ومشغلي DNS ومجتمع الإنترنت ككل خلال مسيرتنا في هذا العمل الحيوي طوال العامين القادمين. وحيث إننا - بصفتنا مجتمع عالمي للإنترنت - نقوم بإعداد أول عملية لتدوير KSK على الإطلاق، فإننا سعداء بفرصة تحقيق المزيد من التعزيز لأمن وأمان الإنترنت وتمهيد الطريق لمزيد من العمل على تطوير الإنترنت.