الغالبية من الناس الآن على دراية بالقرار الذي أعلنته ICANN لتأجيل تغيير مفتاح التشفير الذي يساعد على حماية نظام أسماء النطاقات (DNS). حيث كان من المقرر تنفيذ هذا التغيير أو "التبديل" في 11 أكتوبر/تشرين الأول.
وأود أن أقدم بعض التفاصيل الإضافية حول ما جرى بخصوص قرارنا بتأجيل عملية التبديل. ولكم أن تقولوا بأن هذه هي القصة وراء القصة.
من الناحية التاريخية، لم يكن من سبيل إلى تحديد مرتكزات الثقة التي قامت جهات توثيق امتدادات أمن نظام أسماء النطاقات (DNSSEC) بتكوينها، الأمر الذي جعل من الصعب تقييم التأثير المحتمل لتبديل مفتاح التوقيع الرئيسي للجذر. ولكن تم تغيير ذلك مؤخرًا وقد تلقينا بعض البيانات الجديدة والتي لا يمكننا تجاهلها وحسب.
"الإشارة إلى معرفة مرتكز الثقة في امتدادات أمن نظام أسماء النطاقات (DNSSEC)" (المحددة في طلب تقديم التعقيبات رقم 8145) عبارة عن امتداد بروتوكول حديث يسمح لجهة التحقق بالإبلاغ عن مرتكزات الثقة التي قامت بتكوينها من أجل أي منطقة لخوادم الاسم الخاصة بتلك المنطقة.
ولم يتم الانتهاء من البروتوكول إلا في أبريل/نيسان 2017، على الرغم من أنه مدعوم فقط من خلال الإصدارات الأحدث لبعض برامج تحويل اسم النطاق إلى عنوان IP المقابل له (BIND 9.10.5b1 وإصدار 9.11.0b3 والأحدث منه بالإضافة إلى Unbound 1.6.4 والأحدث منه). وفي البداية، لم يكن من المتوقع لهذا البروتوكول أن يُنشر على نطاق واسع بما يكفي لتوفير معلومات مفيدة من أجل أول عملية تبديل لمفتاح التوقيع الرئيسي للجذر.
وعلى الرغم من ذلك، اكتشفت بعض الأبحاث الأولية (من خلال شركة VeriSign وبعد ذلك ICANN) عددًا متناميًا من جهات التوثيق تبلغ عن تكوين مرتكز الثقة إلى خوادم الجذر. وتشيل البيانات القدامة من ستة عناوين لخوادم الجذر إلى أنه بالنسبة لشهر سبتمبر 2017، أرسل حوالي 12,000 عنوان مصدر IP فريد تقارير حول تكوين مرتكزات الثقة. وعدد من يقدمون تقارير في تزايد والآن يصل إلى 1400 عنوان فريد لكل يوم.
وتشير تلك التقارير القادمة إلى أن حوالي 5% من جهات التوثيق الإجمالية وحوالي 6%-8% في أي يوم محدد يبلغون بأنها يستخدمون KSK-2010، وهو مفتاح الجذر الرئيسي الذي يوقع حاليًا DNSKEY RRset لمنطقة الجذر. ومن الأهمية بمكان أن هذه الجهات المعنية بالتوثيق لن تقوم بتحويل اسم النطاق إلى عنوان بروتوكول الإنترنت المقابل له بشكل صحيح بعد عملية تبديل مفتاح التوقيع الرئيسي للجذر المخطط لها.
واستنادًا إلى هذه المعلومات الجديدة، فقد قررنا تأجيل عملية تبديل مفتاح التوقيع الرئيسي للجذر لمدة ثلاثة أشهر على أقل تقدير.
وطوال المشروع قمنا التركيز على أن مفتاح التوقيع الرئيسي للجذر يجري تبديله في ظل ظروف تشغيلية طبيعية وتمت المتابعة بحذر وبدون أي اندفاع. لقد تم اتخاذ قرار التأجيل بدافع الحذر لأنه لا يوجد أي ضغط تشغيلي للمتابعة بالنظر إلى الثقة المتواصلة في أمن المفتاح الحالي، KSK-2010.
وثمة أسباب عدة وراء قيام جهة التوثيق بالإبلاغ فقط عن KSK-2010: تكوين قديم مع مرتكز ثقة مكوّن من الناحية الثابتة (على سبيل المثال بيان "المفتاح المعتمد" لبرنامج BIND) أو فشل في التحديث التلقائي لمرتكز الثقة باستخدام بروتوكول التحديث التلقائي RFC 5011 بسبب عيب برمجي، أو خطأ من المشغل أو سبب آخر.
وبالنظر إلى النسبة العالية إلى حد ما لجهات التوثيق المستخدمة لمفتاح KSK-2010 فقط، ترى ICANN أن من الضروري فهم الأسباب قبل المتابعة في عملية تبديل مفتاح التوقيع الرئيسي للجذر. وسوف ننشر قريبًا قائمة جهات التوثيق التي تبلغ فقط عن KSK-2010 وسوف نطلب المساعدة من المجتمع التشغيلي في تحديد وتشخيص وتصحيح هذه النظم.
ونحن نقدر فهم المجتمع ونتطلع إلى مساعدتكم في جمع المعلومات اللازمة من أجل المضي قدمًا في عملية تبديل مفتاح التوقيع الرئيسي للجذر.
