Блоги ICANN

Читайте блоги ICANN, чтобы получать новости о деятельности в области формирования политики, региональных мероприятиях и других событиях.

Вниманию операторов сетей и интернет-провайдеров: определите свою готовность к обновлению ключа для подписания ключей (KSK) корневой зоны!

7 сентября 2017
Автор

В дополнение к языкам, использующимся в ООН, этот материал также доступен на

У операторов сетей и интернет-провайдеров все еще остается время протестировать свои рекурсивные распознаватели, чтобы убедиться в их готовности к предстоящему изменению криптографических ключей, с помощью которых обеспечивается защита системы доменных имен (DNS).

Операторы могут воспользоваться развернутой ICANN испытательной платформой, чтобы определить, смогут ли их распознаватели с включенной проверкой DNSSEC должным образом отработать предстоящее обновление ключа для подписания ключей (KSK) расширений безопасности системы доменных имен (DNSSEC).

В марте 2017 года начала свою работу испытательная платформа ICANN, специально разработанная для помощи операторам сетей и другим заинтересованным сторонам в тестировании готовности их систем к автоматизированной процедуре обновления якоря доверия при изменении KSK корневой зоны.

Для участия в тестировании операторы сетей и интернет-провайдеры должны подписаться на список рассылки, в котором приведены указания о том, какие действия необходимо предпринять для проведения таких испытаний и когда именно это нужно сделать. Подписаться на список рассылки можно в любой момент, но полная процедура испытаний занимает 45 дней, а наиболее важные результаты будут готовы только через 30 дней после начала тестирования.

Поскольку обновление ключа KSK запланировано на 11 октября 2017 года, мы призываем операторов рекурсивных распознавателей с включенной проверкой DNSSEC сделать все необходимой для успешного обновления конфигурации систем с использованием нового ключа KSK корневой зоны в качестве якоря доверия. Если такие системы не поддерживают протокол автоматического обновления якоря доверия или поддерживают некорректную его реализацию, якорь доверия необходимо прописать в конфигурации вручную. Если якорь доверия рекурсивного распознавателя не будет обновлен, распознавание адресов в системе DNS перестанет работать для всех клиентов данного рекурсивного распознавателя, а на любое обращение с запросом адреса будет выдаваться сообщение «Обслуживающий компьютер не найден» или аналогичное сообщение об ошибке.

ICANN опубликовала инструкции по проверке конфигурации для наиболее популярных вариантов реализации рекурсивных распознавателей, с помощью которых можно убедиться, что новый ключ для подписания ключей корневой зоны должным образом настроен для использования в качестве якоря доверия.

ICANN также опубликовала инструкции по настройке конфигурации наиболее популярных вариантов реализации рекурсивных распознавателей для использования протокола автоматического изменения якоря доверия, который позволит всегда использовать последнюю, обновленную версию ключа KSK корневой зоны.

Дополнительные сведения о процедура обновления ключа KSK корневой зоны представлены на нашей веб-странице здесь. Кроме того, вы можете ознакомиться с испытательной платформой здесь или задать вопросы о ней по адресу automated-ksk-test@research.icann.org

Authors

Matt Larson

Matt Larson

VP, Research