عملية تبديل مفتاح توقيع شفرة الدخول الأساسية الأخيرة: المخلص والخطوات التالية

وفقًا لما قد سمعتموه بالفعل، فقد تم تغيير مفتاح التشفير لمنطقة جذر DNS في 11 أكتوبر/تشرين الأول 2018 في سلسلة من الخطوات المنظمة إيقاعيًا بدقة. وكان النتيجة جيدة إلى حد الذهول: فقد تأثر عدد قليل لأبعد الحدود سلبًا بالتغيير (والذي يطلق عليه بشكل عام عملية التبديل) أكثر مما يتوقع أحد. ثمة القليل من الأشياء الأخرى التي يجب القيام بها من أجل أن تكون عملية التبديل مكتملة، إلا أن المهمة الرئيسية مرت بدون أي تعقيدات.

خلفية بسيطة: تم توقع إجراء عملية تبديل بسيطة منذ أن تم توقيع منطقة الجذر في البداية باستخدام DNSSEC في عام 2010، وقد بدأ التخطيط الجاد في ديسمبر/كانون الأول 2014 عندما طلبت ICANN متطوعين من المجتمع للمشاركة في فريق التصميم من أجل وضع خطة تبديل لمفتاح التوقيع الرئيسي لمنطقة الجذر، أو ما يسمى KSK. (يقوم مفتاح توقيع شفرة الدخول الأساسية بتوقيع المفاتيح الأخرى في المنطقة، ويطلق عليها ZSK). وتم نشر الخطة في مارس/أذار 2016 وراجعها المجتمع. وقامت ICANN بتحويل التصميم إلى خطط تشغيلية نوعية (مفصلة هنا)، وبدأت العمل عليه في بداية 2017، وعلى وجه الخصوص بتوعية واسعة لمشغلي وحدات حل التصديق للتأكد من أنهم على استعداد.

وقد تم تحديد موعد عملية التبديل في 11 أكتوبر/تشرين الأول 2017، ولكن تم تأجيلها قبلها بشهر بسبب ملاحظة ارتباك في الإشارات في نظام خادم الجذر. وبعد أن تم تقييم تلك الإشارات بدقة، قامت ICANN بتقديم اقتراح للمجتمع [PDF, 162 KB] بإعادة تحديد موعد لعملية التبديل في 11 أكتوبر/تشرين الأول 2018، كما اعتمد مجلس إدارة ICANN التوقيت الجديد في سبتمبر/أيلول 2018.

وبمجرد حلول 11 أكتوبر/تشرين الأول، بدأنا في تنفيذ الخطط التشغيلية خطوة بخطوة، في تمام الساعة 16:00 بالتوقيت العالمي المنسق، وقد تم تغيير مفتاح توقيع شفرة الدخول الأساسية المستخدم في توقيع منطقة الجذر إلى مفتاح جديد تم استخراجه في 2017. وقد توقعنا أن يكون بعض مشغلي وحدات حل التصديق غير جاهزين بصرف النظر مقدار ما حاولناه من أجل العثور عليهم والتواصل معهم قبل هذا الوقت، ولكن مع مشاهدة منظمة ICANN ومجتمع DNS الفني لتقارير ما بعد التبديل، بات واضحًا أن مشغلي وحدات حل التصديق كانوا على استعداد تام. وحتى الآن، وبعد أكثر من أسبوعين على عملية التبديل، لم نسمع إلا بعدد بسيط من وحدات حل التصديق التي تأثرت سلبًا، وحسب علمي، تمكنوا جميع من التعافي واستعادة العمل. وسمعت ICANN باثنين فقط من موفري خدمة الإنترنت (ISP) الذين عانون من انقطاع وتوقف الخدمات في وقت يقارب وقت عملية التبديل والذين قد يكونوا قد تأثروا سلبًا بعملية التبديل، لكننا لم نتمكن من أي منهم للوقوف على السبب الجذري وراء المشكلات التي تعرضوا لها.

ولا تزال هناك القليل من الأشياء التي لم يتم تنفيذها بعد. أولاً، يجب أن يتم إلغاء المفتاح القديم رسميًا. في 11 يناير/كانون الثاني 2019، فإن المفتاح القديم، والذي تم نشره في منطقة الجذر تمامًا، سوف يتم تغييره للإشارة إلى أنه لن يكون صالحًا وأن على مسئولي حل التصديق حذفه من التكوينات الخاصة بهم. وبعد ذلك، سوف تنشر ICANN ورقة بيضاء شاملة تغطي عملية التبديل بالكامل، بما في ذلك الدروس المستفادة من هذا الجهد. وبعد ذلك، سوف تبدأ المجتمعات العديدة في ICANN مناقشة ما يريدون رؤيته من عمليات التبديل في المستقبل (كم مرة يجب القيام بها، واستخدام مفاتيح "الاستعداد"، ونوع البيانات التي يريدون رؤيتها قبل عمليات التبديل، وما إلى ذلك)، وكل ذلك اعتمادًا على ما تعلمناه من عملية التبديل والعملية المؤدية لها.

إذا كنت مهتمًا بالاطلاع على آخر المستجدات فيما يخص الخطوات المتبقية في عملية تبديل مفتاح التوقيع الرئيسي للجذر ومناقشة عمليات التبديل المستقبلية، برجاء الانضمام إلى القائمة البريدية لتبديل مفتاح توقيع شفرة الدخول الأساسية.