مدونات ICANN

اقرأ مدونات ICANN لتبقى على اطلاع على آخر أنشطة وضع السياسات والمحافل الإقليمية وغيرها.

بدء عمليات استبدال مفتاح التوقيع الرئيسي KSK

27 أكتوبر 2016
بقلم David Conrad

بالإضافة الى لغات الأمم المتحدة الست، هذا المحتوى متوفر أيضاً باللغات

null

إستحدثت ICANN اليوم مفتاح توقيع جديد (KSK) لمنطقة الجذر. وهذا الزوج الجديد من مفتاح التشفير العام/الخاص تم استحداثه خلال الاحتفالية ربع السنوية لمفتاح KSK الخاص بالجذر في المنشأة الآمنة لإدارة المفاتيح في كالببر، بولاية فيرجينيا. باستخراج هذا المفتاح، فقد بدأت المرحلة التشغيلية الأولية لتبديل مفتاح التوقيع الرئيسي للجذر لأول مرة على الإطلاق- أي عملية تغيير "المفتاح الرئيسي" لنظام أسماء النطاقات (DNS). ومن المتوقع أن تستغرق عملية تبديل KSK الكاملة قرابة عامين.

يعمل مفتاح KSK لمنطقة الجذر بمثابة نقطة انطلاق معتمدة لتوثيق امتدادات أمن نظام أسماء النطاقات (DNSSEC)، على غرار الطريقة التي تعمل بها منطقة الجذر نفسها كنقطة انطلاق لحل DNS. حيث تثق البرمجيات التي تقوم بعملية توثيق DNSSEC بالجزء العام من مفتاح التوقيع الرئيسي لمنطقة الجذر، وهو ما تم تكوينه إلى وحدات حل وهي معروفة باسم "مرتكز الثقة" للجذر. ويبدأ برنامج توثيق صحة DNSSEC بمرتكز الثقة من أجل بناء "سلسة ثقة" من المفاتيح والتوقيعات المتتابعة من أجل توثيق صحة البيانات الموقعة في ردود DNS. وعلى الرغم من ذلك، كما هو الحال بالنسبة لأي كلمة مرور، يجب تغيير مفتاح الجذر بصفة دورية. كما أن إجراء تبديل لمفتاح KSK يقلل من مخاطر كشف المفتاح ويساعد في التأكد من الحصول على القدرة على تغيير المفتاح في حالة الكشف عنه أو فقده.

والآن بعد استخراج المفتاح الجديد، سوف يتم إعداده من أجل الجاهزية التشغيلية في الأشهر القادمة. وسوف يتم تخزين نسخة من الجزء الخاص في زوج المفاتيح في منشأة إدارة المفاتيح الثاني في ICANN وذلك في إلسيجوندو، بكاليفورنيا. كما أن ملف مرتكز الثقة المتوفر من iana.org سوف يتم تحدثه بمفتاح KSK الجديد في فبراير 2017. ويجب على القائمين على تطوير ومكاملة برامج DNS بعد ذلك تضمين المفتاح الجديد في المنتجات الخاصة بهم. وسوف يكون مفتاح KSK الجديد واضحًا بشكل واسع عندما يتم نشره في DNS للمرة الأولى في 11 يوليو 2017. وتؤدي جميع هذه الأنشطة إلى فعالية التبديل الفعلية، عندما يتم استخدام المفتاح الجديد من أجل التوقيع في منطقة الجذر للمرة الأولى، وهو ما سيحدث في 11 أكتوبر 2017.

وسوف يتعين على مشغلي الشبكات ممن قاموا بتفعيل توثيق DNSSEC في وحدات حل DNS الخاصة بهم تحديث النظم الخاصة بهم بمفتاح KSK الجديد للجذر بمجرد نشره.

إهمال تثبيت مرتكز الثقة الجديد بعد 11 أكتوبر 2017 سوف يؤدي إلى فشل جميع عمليات بحث DNS التي تجريها وحدات الحل التي لم يتم تحديثها.

في حالة حدوث هذا الفشل، سوف يتصرف العملاء المستخدمين لوحدات الحل تلك كما لو كانت مواقع الويب وعناوين البريد الإلكترون وجميع النطاقات الأخرى غير موجودة. ولحسن الحظ، تتمتع غالبية وحدات حل التوثيق بآلية تلقائية لتحديث مرتكز الثقة. وعلى الرغم من ذلك، وبعد نشر مرتكز الثقة الجديد في فبراير 2017، يجب على مشغلي الشبكات ضمان أن مرتكز الثقة الجديد مفعّل، سواء من خلال تأكيد تحديثه تلقائيًا أو تكوينه يدويًا.

تعرّف على المزيد حول تبديل KSK.

Authors

David Conrad

David Conrad