Skip to main content

Обновление ключа KSK откладывается

Страница также доступна на следующих языках:

Сегодня Интернет-корпорация по присвоению имен и номеров (ICANN) объявила о том, чтоприведение в действие Плана изменения криптографического ключа который используется для защиты системы доменных имен (DNS), откладывается.

Изменение ключа подразумевает создание новой пары криптографических ключей и распространение нового открытого компонента ключа среди резолверов, осуществляющих валидацию DNSSEC (DNSSEC - расширения безопасности системы доменных имен). Если посмотреть на предполагаемое количество интернет-пользователей, которые используют резолверы, осуществляющие валидацию DNSSEC, изменение KSK может затронуть приблизительно четверть интернет-пользователей мира или 750 миллионов человек.

Смена - или «обновление» - ключа KSK была изначально запланирована на 11 октября, но эта дата переносится, потому что недавно полученные данные показывают, что значительное количество резолверов, которыми пользуются интернет-провайдеры и сетевые операторы, к ней еще не готовы.  Эта новая информация появилась благодаря совсем недавно введенной функциональности протокола DNS, которая позволяет резолверу сообщать корневым серверам о том, какие из ключей он отконфигурировал.

Причин того, почему новый ключ еще не установлен в системах у операторов может быть множество: у некоторых установлена неправильная конфигурация программного обеспечения резолверов; кроме того, недавно была выявлена еще одна проблема - одна из распространенных программ резолверов не обновляет ключ автоматически, как должна - причины выясняются.

ICANN обращается к своему сообществу, включая Консультативный комитет по безопасности и стабильности, региональные интернет-регистратуры, группы сетевых операторов и других, за помощью в изучении и разрешении этих проблем.

А тем временем ICANN считает целесообразным следовать собственным процессам и отложить смену ключа, чтобы не создавать риск возникновения отрицательных последствий для значительного количества интернет-пользователей. ICANN будет продолжать информировать о происходящем, а также взаимодействовать с соответствующими техническими организациями с целью обеспечить готовность к смене ключа.

«Наша основополагающая миссия - обеспечение безопасности, стабильности и отказоустойчивости системы доменных имен. Мы предпочитаем действовать аккуратно и осмотрительно, чем сменять ключ 11 октября», - заявил Йоран Марби (Göran Marby). «Раз мы выявили эти новые проблемы, было бы безответственно провести смену ключа, так как это может негативно сказаться на успехе всего предприятия и создать неудобства для конечных пользователей».

Новая дата обновления ключа еще не определена. Офис технического директора ICANN сообщил, что обновление ключа предварительно планируется перенести на первый квартал 2018 года, но что окончательное решение будет зависеть от достижения более полного понимания новой информации и возможностей снижения риска возникновения как можно большего количества потенциальных неисправностей.

ICANN будет предоставлять дополнительную информацию по мере ее поступления, а о новой дате обновления ключа будет объявлено отдельно.

«Мы надеемся, что сетевые операторы воспользуются этим дополнительным временем, чтобы проверить готовность своих систем к обновлению ключа», - сказал Марби. «Наша испытательная платформа (http://go.icann.org/KSKtest) призвана помочь операторам проверить, что их резолверы настроены правильным образом на новый ключ, а мы будем продолжать нашу работу по взаимодействию и информированию этих операторов».

О DNSSEC

Для легкого определения ресурсов в интернете базовые числовые адреса для этих ресурсов отображаются строками, которые способен прочесть человек. Превращением этих строк в номера занимается распределенная иерархическая система доменных имен (DNS). Произошедший с момента ее изобретения в 1983 году прогресс в областях программирования и сетей сделал эту «телефонную книгу» уязвимой. В ответ на эти угрозы международная организация по стандартизации, IETF, разработала DNSSEC для того, чтобы защитить данных DNS от скрытых изменений криптографическими методами. В полностью развернутом виде DNSSEC не позволяет взломщику перенаправить пользователей при помощи DNS.

##

Информация обо всем, что связано с обновлением ключа доступна здесь: https://www.icann.org/resources/pages/ksk-rollover

Социальные медиа: #Keyroll


More Announcements
Domain Name System
Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."