Skip to main content
Resources

Обновление KSK корневой зоны

Страница также доступна на следующих языках:

Root Zone KSK Rollover

Обзор
Ресурсы
Участие
Историческая справка
Проект графика работ
Оперативные планы
Коммуникационный план

Технические изменения

1 февраля 2018 года — Публикуем проекта плана по продолжению обновления KSK

18 декабря 2017 года — Новая информация по проекту обновления KSK корневой зоны

17 октября 2017 года — Перенос обновления KSK корневой зоны на более поздний срок

27 сентября 2017 года — ICANN объявляет о переносе обновления KSK на более поздний срок

4 сентября 2017 года — Проверка действующих якорей доверия в распознавателях DNS с проверкой подлинности

4 сентября 2017 года — Обновление распознавателей DNS с проверкой подлинности и установка последней версии якоря доверия

11 июля 2017 года — KSK-2017 опубликован в DNS

Общие сведения

ICANN планирует обновить ключ KSK расширений безопасности системы доменных имен (DNSSEC) в корневой зоне согласно требованиям документа Методика поддержки DNSSEC на корневых серверах оператором KSK корневой зоны [TXT, 99 KБ].

Обновление KSK означает создание новой пары криптографических ключей — открытого и закрытого — и распространение нового открытого компонента среди сторон, которые управляют распознавателями с функцией проверки подлинности, в том числе среди: интернет-провайдеров; администраторов корпоративных сетей и других операторов распознавателей системы доменных имен (DNS); разработчиков программного обеспечения для распознавателей DNS; системных интеграторов; дистрибьюторов оборудования и программного обеспечения, которые устанавливают или поставляют «якорь доверия» корневой зоны. KSK используется для подписания криптографическим способом ключа подписания зоны (ZSK), который применяется специалистом по обслуживанию корневой зоны для подписания с помощью DNSSEC корневой зоны DNS интернета.

Обеспечение актуальности KSK после его обновления — важная гарантия сохранения работоспособности распознавателей для выполнения проверки DNSSEC после обновления ключа. Отсутствие действующего KSK корневой зоны означает, что распознаватели DNS с функцией проверки DNSSEC не смогут разрешать запросы DNS.

Планы обновления KSK разработаны партнерами по обслуживанию корневой зоны, каковыми являются: ICANN как оператор функций IANA, компания Verisign как специалист по обслуживанию корневой зоны, Национальное управление по телекоммуникациям и информации (NTIA) Министерства торговли США как администратор корневой зоны. Срок указанных полномочий NTIA истек 1 октября 2016 года. Планы обновления KSK были опубликованы в июле 2016 года и учитывают рекомендации Группы разработчиков процедуры обновления KSK корневой зоны [PDF, 1,01 МБ].

Ресурсы

Дополнительные сведения и ресурсы доступны на следующих страницах:

Участие

Задайте вопрос
Отправьте письмо на адрес globalsupport@icann.org, указав «Обновление KSK» в строке «Тема».

Посетите мероприятие
Ознакомьтесь с календарем мероприятий, чтобы узнать о предстоящих презентациях, связанных с обновлением KSK.

Воспользуйтесь социальными медиа
Присоединяйтесь к обсуждению, воспользовавшись хэштегом #KeyRoll: https://twitter.com/icann

Присоединяйтесь к обсуждению обновления KSK через лист рассылки
Подпишитесь на лист рассылки для общественного обсуждения вопросов, связанных с этой темой: https://mm.icann.org/listinfo/ksk-rollover

Распространяйте информацию
Расскажите об этой веб-странице другим людям, чтобы они смогли больше узнать об обновлении KSK и о том, как это может на них повлиять.

Историческая справка

В 2009 году партнеры по управлению корневой зоной объединили свои усилия для развертывания DNSSEC в корневой зоне. Кульминацией этой работы стала первая публикация в июле 2010 года подписанной корневой зоны с возможностью проверки подлинности.

Требования [PDF, 116 KБ] к генерированию и обслуживанию KSK корневой зоны, а также соответствующие обязанности каждого из партнеров по управлению корневой зоной были определены NTIA. Процедуры, используемые для выполнения таких требований специалистом по обслуживанию корневой зоны (Verisign) и оператором функций IANA (ICANN), были опубликованы в отдельных документах «Методика поддержки DNSSEC на корневых серверах» (DPS): DPS для службы подписания DNSSEC компании Verisign [PDF, 138 KБ] и DPS для оператора KSK корневой зоны [TXT, 99 KБ].

В июле 2010 года Договор об исполнении функций IANA между NTIA и ICANN был изменен — в его состав были включены обязанности, связанные с управлением KSK корневой зоны, и затем эти требования переносились во все последующие редакции этого договора.

В июле 2010 года также были внесены поправки в Соглашение о сотрудничестве между NTIA и Verisign, отражающие обязанности Verisign как оператора ZSK корневой зоны.

В составе Договора об исполнении функций IANA было предусмотрено положение об обновлении ключа KSK корневой зоны, однако конкретные требования, подробный график или план реализации таких действий отсутствовали. В заявлении DPS оператора KSK корневой зоны в разделе 6.5 содержится следующее утверждение, в котором определяются требования к обновлению ключа:

«Необходимо запланировать обновление каждого ключа KSK корневой зоны в рамках церемонии создания ключа при необходимости или по истечении пяти лет работы».

График работ

Указанные сроки могут меняться, исходя из практических соображений.

  • 27 октября 2016 года: процесс обновления ключа KSK начинается с генерации нового KSK.
  • 11 июля 2017 года: опубликование нового KSK в DNS.
  • 19 сентября 2017 года: увеличение размера ответа DNSKEY, поступающего от корневых серверов.
  • 1 февраля 2018 года: начало периода общественного обсуждения плана по возобновлению процесса обновления KSK (обсуждение заканчивается 2 апреля 2018 года).
  • Дальнейшие сроки будут объявлены после доработки планов обновления KSK корневой зоны

Оперативные планы

  1. Оперативный план реализации процесса обновления ключа KSK в 2017 году [PDF, 741 КБ] содержит подробное описание действий по реализации проекта обновления ключа KSK на 2017 год, включая сроки выполнения каждого из восьми этапов. Этот документ в настоящее время обновляется с учетом объявления от 27 сентября 2017 года о переносе сроков обновления.
  2. План процедуры обновления ключа KSK в 2017 году в ситуации форс-мажора [PDF, 506 КБ] содержит описание возможных отклонений от оперативного плана реализации при возникновении непредвиденных событий в процессе выполнения оперативного плана. Этот документ в настоящее время обновляется с учетом объявления от 27 сентября 2017 года о переносе сроков обновления.
  3. План внешней проверки процедуры обновления ключа KSK в 2017 году [PDF, 516 КБ] охватывает подготовку для интернет-сообщества тестовой среды, позволяющей провести эксплуатационные испытания и оценить готовность внешних систем к участию в обновлении ключа KSK.
  4. План мониторинга процесса обновления ключа KSK в 2017 году [PDF, 480 КБ] содержит план контроля входящего трафика корневых серверов для наблюдения за последствиями изменения «якоря доверия».
  5. План тестирования систем при обновлении KSK в 2017 году [PDF, 519 КБ] описывает действия, необходимые для проверки изменений инфраструктуры ICANN в связи с обновлением KSK.

Коммуникационный план

ICANN проводит обширную работу по информированию, чтобы довести необходимые сведения до всех тех, кто в настоящее время использует KSK.

Архив новостей

Domain Name System
Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."