Logo
ICANN
ICANN
Filtered Search

Are you sure you want to sign out from http://www.icann.org?

If you want to sign out from both http://www.icann.org and ICANN Account, click here.

مدونات ICANN

اقرأ مدونات ICANN لتبقى على اطلاع على آخر أنشطة وضع السياسات والمحافل الإقليمية وغيرها.

مستجدات بشأن مشروع استبدال مفتاح توقيع شفرة الدخول الأساسية لمنطقة الجذر

26 أكتوبر 2017
بقلم
Matt Larson

Matt Larson

VP, Research

Matt joined ICANN staff in May, 2016, as VP of Research in the Office of the CTO. Prior to joining ICANN, he was CTO at Dyn, Inc., and spent 13 years at Verisign, finishing his time there as VP of Research and Director of Verisign Labs.

He lives in Maryland and works in ICANN's Washington, D.C. office.

بالإضافة الى لغات الأمم المتحدة الست، هذا المحتوى متوفر أيضاً باللغات

هذا المنشور هو الأول من ضمن سلاسل مستمرة من مستجدات حالات مشروع استبدال مفتاح توقيع شفرة الدخول الأساسية لمنطقة الجذر. ونهدف إلى إبقاء المجتمع على علم بمستجدات جهودنا في إجراء الاستبدال.

بتاريخ 27 أيلول (سبتمبر) 2017، أعلنت منظمة ICANN على أننا نؤجل استبدال مفتاح توقيع شفرة الدخول الأساسية لمنطقة الجذر. ومؤخرًا، بتاريخ 17 تشرين الأول (أكتوبر)، نشرنا وثيقة بعنوان تأجيل استبدال مفتاح توقيع شفرة الدخول الأساسية لمنطقة الجذر تقدم مزيدًا من التفاصيل بشأن المعلومات التي تلقيناها بخصوص إعداد بعض المحللات التي أثرت على القرار، وعلى تحليلنا، وعلى مبررات قيامنا بالتأجيل.

وكما وصفنا في تلك الوثيقة، فإن الإصدارات الأحدث من برامجيات بيركلي لنظام اسم النطاق على الإنترنت والمحللات التكرارية غير المحدودة تنفذ بروتوكولًا موصوفًا في RFC 8145 ، الإشارة إلى معرفة مرتكز الثقة في الإمتدادات الامنية لنظام اسم النطاق (DNSSEC) ، والتي تسمح لمحلل بتقديم تقرير عن إعداده لمرتكز الثقة. ويبلغ محلل يدعم هذه الخاصية بمرتكزات ثقته المعدة لمنطقة الجذر إلى خوادم اسم الجذر. إن تحليل بيانات مرتكز الثقة المبلغ عنها هذه، في الأسبوع الذي يسبق تاريخ الاستبدال المبرمج مسبقًا بتاريخ 11 تشرين الأول (أكتوبر) 2017، طرح مشاغل بأنه قد يكون هناك عدد أكبر من المتوقع من المحللات غير المعدة مع KSK-2017 (الاسم المختصر الذي نستخدمه لإستبدال مفتاح توقيع شفرة الدخول الأساسية لمنطقة الجذر المقبل) كمرتكز ثقة. هذه المحللات لن تكون قادرة على حل طلبات نظام اسم النطاق عندما يحدث الاستبدال.

قام فريق الأبحاث في مكتب المدير التنفيذي للتكنولوجيا (OCTO ) بتحليل المرور إلى خوادم الجذر B ، وD ، وF وL طيلة شهر أيلول (سبتمبر) 2017 ووجدوا أن 11982 عنوان IP فريد (8909 من IPv4 و3078 من IPv6 ) ترسل معلومات إعداد مرتكز الثقة. من بين هذه العناوين، 620 عنوانًا تم الإبلاغ عن كونها معدة فقط مع KSK-2010 (الاسم المختصر لإستبدال مفتاح توقيع شفرة الدخول الأساسية لمنطقة الجذر الحالي). وبناء على مزيد من التحليل، تمكنا من إزالة بعض الإيجابيات الخاطئة: عناوين IP ، والتي لأسباب متنوعة، لم تمثل محللات تكرارية تنجز التحقق من DNSSEC. قلصنا قائمة 500 عنوان من المحللات التكرارية التي من المحتمل أنها غير معدة والتي نريد التواصل مع مشغليها. لدينا سببان رئيسيان للرغبة في التواصل معهم: فهم السبب في إبلاغ محللهم أنه معد فقط مع KSK-2010 ، وإذا كان ذلك مناسبًا، مساعدتهم على تصحيح الإعداد ليكونوا مستعدين للاستبدال.

خططنا أوليًا لتعميم قائمة العناوين هذه من أجل حشد دعم المجتمع. وبناء على تفكير عميق، أدركنا أن مثل هذه القائمة قد تؤخذ خارج سياقها كمحاولة "للتشهير" بالمشغلين ذوي الأنظمة غير المعدة جيدًا، وهذا ليس هدفنا بتاتًا. قررنا القيم بمحاولة أولية للتواصل مع المدراء شخصيًا. وبناء على النتيجة، قد نحتاج نشر قائمة عناوين أولئك المدراء الذين لم نتمكن من التواصل معهم.

وفق البيانات من أيلول (سبتمبر) المذكورة أعلاه، فإن %4.1 من عناوين IP تبلغ فقط عن KSK-2010. (النسبة الحالية من جميع المحللات على الإنترنت مع KSK-2010 فقط قد تكون أعلى، حيث أن عددًا قليلًا جدًا من المحللات تبلغ عن إعداد مرتكز الثقة.) وإننا نرغب في إضفاء تحسينات مهمة على ذلك العدد من خلال قيامنا بالفحص والتخفيف. وحيث أننا لا نعرف عدد المدراء الذين سنتمكن من التواصل معهم، فلا نريد وضع نسبة مستهدفة لحد الآن.

وتجدر الإشارة إلى أن القيمة تمثل نسبة من المحللات، وليس المستخدمين النهائيين، والشيء الأهم هو التأثير على المستخدمين النهائيين. المعايير في الخطة التشغيلية المنشورة للرجوع عن الاستبدال في حالة وقوع مشاكل تشير إلى التأثير على المستخدمين النهائيين:

ستعتبر ICANN التراجع عن كل خطوة في عملية استبدال المفتاح إذا ما أشار برنامج القياسات إلى أن عددًا كبيرًا من المستخدمين النهائيين المقدرين للإنترنت قد تأثر سلبًا بالتغيير في غضون 72 ساعة من كل تغيير يتم تنفيذه في منطقة الجذر.

وقد تم استخلاص هذه المعايير من الجزء من توصيات فريق عمل تصميم إستبدال مفتاح توقيع شفرة الدخول الأساسية لمنطقة الجذر الذي قامت ICANN بعقده للمساعدة في تخطيط الاستبدال، والذي تضمن تقريره هذه التوصية التي تركز أيضًا على المستخدمين النهائيين:

التوصية 16: يجب بدء التراجع عن كل خطوة في عملية استبدال المفتاح إذا ما أشار برنامج القياسات إلى أن %0.5 على الأقل من المستخدمين النهائيين المقدرين للإنترنت قد تأثروا سلبًا بالتغيير في غضون 72 ساعة من كل تغيير يتم تنفيذه في منطقة الجذر.

خلال هذه العملية، سنعتبر أن التأثير على المستخدم النهائي أمر أكثر أهمية من النسبة المطلقة من المحللات التي لا تزال تبلغ عن KSK-2010 فقط. وبعد تواصلنا مع أكبر عدد ممكن من المحللات، سنحاول تحديد عدد المستخدمين النهائيين المتأثرين بالمحللات الأخرى المتبقية التي لا تبلغ بعد عن KSK-2017. يصعب تحديد عدد المستخدمين النهائيين الذين يستخدمون محللًا معينًا، لكن لدينا العديد من الأفكار وموارد البيانات للمساعدة على هذه المهمة.

سنبلغ عن المزيد بشأن هذه الجهود والتطورات الأخرى في منشورات مدونة مستقبلًا مع إبقائنا المجتمع على علم بمستجدات تقدمنا.

Authors

Matt Larson

Matt Larson

VP, Research
Matt Larson

Matt Larson

VP, Research

Matt joined ICANN staff in May, 2016, as VP of Research in the Office of the CTO. Prior to joining ICANN, he was CTO at Dyn, Inc., and spent 13 years at Verisign, finishing his time there as VP of Research and Director of Verisign Labs.

He lives in Maryland and works in ICANN's Washington, D.C. office.

قد يعجبك أيضاً

المدونات الحديثة

المدونات حسب الكاتب

البحث المتقدم

بحث

هل أنت مهتم بالحصول على المزيد من المحتوى المشابه؟

اشتراك