Skip to main content

ICANN опубликовала подробное руководство о том, чего следует ожидать во время обновления KSK в корневой зоне

Страница также доступна на следующих языках:

ЛОС-АНДЖЕЛЕС – 22 августа 2018 – Корпорация ICANN готовится к первой в истории смене криптографических ключей, которые служат защитой для системы доменных имен интернета (DNS), в связи с чем ею было опубликовано руководство с описанием того, чего следует ожидать в этом процессе.

Смена ключей, процесс, известный под названием «обновление ключа для подписания ключей (KSK)», назначена на 11 октября 2018 года. Это новое руководство ICANN предназначено для аудитории с любым уровнем технических знаний. Предоставленная в нем информация о том, чего следует ожидать, призвана помочь всем подготовиться к обновлению ключа. Руководство публикуется в рамках текущей работы корпорации ICANN над повышением осведомленности об обновлении ключа; в нем также предоставлено подробное описание всего процесса.

Полный текст руководства доступен здесь [PDF, 172 KB]. Наибольшую пользу руководство представляет для операторов валидирующих резолверов, которые желают получить четкие инструкции о том, чего следует ожидать после обновления ключа, а также для журналистов без технической специализации, блогеров и других, планирующих писать об обновлении ключа до, во время и после самого события. Кроме того, документ может оказаться полезным исследователям, которые будут наблюдать за DNS на предмет отказа резолверов после завершения процедуры обновления ключа.

Хотя корпорация ICANN предполагает, что последствия смены KSK в корневой зоне для пользователей будут минимальные, ожидается, что небольшой процент интернет-пользователей испытает сложности при разрешении доменных имен, что на нетехническом языке значит, что у них возникнут проблемы с достижением онлайн-пункта назначения. На текущий момент небольшой ряд рекурсивных резолверов, валидирующих расширения безопасности системы доменных имен (DNSSEC), имеет неправильную конфигурацию, от чего могут пострадать некоторые пользователи, зависящие от этих резолверов. В настоящем документе описано, которые пользователи могут иметь сложности и типы этих сложностей на разных этапах. Краткая сводка:

На ком обновление не отразится:

  • На пользователях, которые зависят от резолвера с последним KSK
  • На пользователях, которые зависят от резолвера, в котором не включена DNSSEC-валидация

На ком обновление отразится и каким образом:

  • Если в конфигурации якоря доверия резолвера не указан новый KSK, то в течение 48 часов после завершения обновления ключа пользователи начнут получать сообщения о невозможности разрешить имя (обычно в форме ошибок типа «server failure» или SERVFAIL). ПРИМЕЧАНИЕ: Нет возможности предсказать, когда операторы резолверов, на которых отразится обновление заметят, что у них прекратилась валидация.

Результаты анализа позволяют заключить, что более 99% пользователей, чьи резолверы выполняют валидацию, от обновления KSK не пострадают. Пользователи, использующие хотя бы один резолвер, готовый к обновлению, не заметят никаких изменений в использовании DNS и интернета в принципе после обновления. (То же можно сказать и о пользователях, в чьих резолверах не включена DNSSEC-валидация. На текущий момент предполагается, что приблизительно две трети пользователей применяют резолверы, в которых не включена DNSSEC-валидация.)

И, наконец, хотя сейчас обновление ключа запланировано на 11 октября 2018 года, эта дата еще подлежит ратификации Правлением ICANN.

##

Информация обо всем, что связано с обновлением ключа доступна здесь: https://www.icann.org/resources/pages/ksk-rollover

Социальные медиа: #Keyroll

###

О корпорации ICANN

Миссия ICANN – обеспечение стабильного, безопасного и единого глобального интернета. Для того, чтобы связаться с кем-нибудь в интернете, в компьютер или другое устройство необходимо ввести адрес – имя или номер. Этот адрес должен быть уникальным, чтобы компьютеры могли друг друга находить. ICANN занимается координацией этих уникальных идентификаторов во всем мире. ICANN была сформирована в 1998 году в качестве некоммерческой общественной корпорации и сообщества участников со всего мира.


More Announcements
Domain Name System
Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."