Skip to main content
Resources

Обновление ключа для подписания ключей (KSK) корневой зоны

Страница также доступна на следующих языках:

Root Zone KSK Rollover

Обзор
Ресурсы
Участие
Историческая справка
План-график
Оперативные планы

Обзор

ICANN планирует провести обновление ключа для подписания ключей (KSK) расширений безопасности системы доменных имен (DNSSEC) в корневой зоне, как предусмотрено документом «Положение о работе с DNSSEC для оператора KSK корневой зоны» [TXT, 99 KБ].

Обновление KSK означает создание новой пары криптографических ключей — открытого и секретного — и распространение нового открытого компонента среди сторон, которые управляют операционными распознавателями, в том числе: интернет-провайдеров; администраторов корпоративных сетей и других операторов распознавателей системы доменных имен (DNS); разработчиков программного обеспечения для распознавателей DNS; системных интеграторов; дистрибьюторов оборудования и программного обеспечения, которые устанавливают или поставляют «якорь доверия» корневой зоны. KSK применяется для криптографического подписания ключа подписания зоны (ZSK), используемого специалистом по обслуживанию корневой зоны для подписания корневой зоны DNS интернета с помощью DNSSEC.

Обеспечение актуальности KSK после его обновления — важная гарантия сохранения возможности проверять достоверность доменных имен, подписанных с помощью DNSSEC. В случае отсутствия действующего KSK корневой зоны стороны, задействованные в проверке DNSSEC, не смогут проверить ответы DNS на наличие стороннего вмешательства и, соответственно, на всезапросы, подписанные с помощью DNSSEC, будут отвечать сообщением об ошибке.

Планы обновления KSK разработаны партнерами по обслуживанию корневой зоны, каковыми являются: ICANN как оператор функций Администрации адресного пространства интернета (IANA), компания Verisign как специалист по обслуживанию корневой зоны, Национальное управление по телекоммуникациям и информации (NTIA) Министерства торговли США как администратор корневой зоны. Эти планы будут включать в себя подготовленные сообществом рекомендации группы разработчиков процедуры обновления KSK корневой зоны [PDF, 1,01 MБ], откорректированные с учетом оперативных требований и ограничений. С этого момента последующие обновления KSK будут выполняться ICANN в соответствии с данными совместно подготовленными планами.

Ресурсы

Дополнительные сведения и источники доступны на следующих страницах:

Участие

Задайте вопрос
Направьте письмо со своими вопросами по электронной почте по адресу globalsupport@icann.org , указав «Обновление KSK» в строке «Тема».

Посетите мероприятие
Просмотрев календарь мероприятий, вы узнаете о предстоящих презентациях, связанных с обновлением KSK.

Воспользуйтесь социальными сетями
Присоединяйтесь к обсуждению с помощью хэштега
#KeyRoll: https://twitter.com/icann

Станьте подписчиком листа обсуждения обновления KSK
Подпишитесь на лист рассылки для общественного обсуждения вопросов, связанных с этой темой: https://mm.icann.org/listinfo/ksk-rollover

Поделитесь информацией
Расскажите об этой странице другим людям, чтобы они смогли больше узнать об обновлении KSK и о том, как это может на них повлиять.

Историческая справка

В 2009 году партнеры по управлению корневой зоной объединили свои усилия для развертывания DNSSEC в корневой зоне. Кульминацией этой работы стала первая публикация в июле 2010 года подписанной корневой зоны с возможностью проверки.

Требования [PDF, 116 KБ] к генерированию и обслуживанию KSK корневой зоны, а также соответствующие обязанности каждого из партнеров по управлению корневой зоной были определены NTIA. Процедуры, используемые для выполнения таких требований специалистом по обслуживанию корневой зоны (Verisign) и оператором функций IANA (ICANN, были опубликованы в двух отдельных Положениях о работе с DNSSEC (DPS): «DPS для оператора услуг подписи DNSSEC компании Verisign» [PDF, 138 KБ] и «DPS для оператора KSK корневой зоны» [TXT, 99 KБ].

В июле 2010 года договор об исполнении функций IANA между NTIA и ICANN был изменен — в него были включены обязанности, связанные с управлением ключом KSK корневой зоны, и затем эти требования переместились во все последующие редакции этого договора.

В соглашение о сотрудничестве между NTIA и Verisign в июле 2010 года также были внесены поправки, отражающие обязанности Verisign как оператора ключа подписания корневой зоны.

Согласно договору об исполнении функций IANA ICANN должна выполнить обновление ключа KSK корневой зоны, однако конкретные требования, подробный график или план реализации таких действий не указаны. В положении DPS для оператора KSK корневой зоны в разделе 6.5 содержится следующее указание, определяющее требования к обновлению ключа:

«Необходимо запланировать обновление каждого ключа KSK корневой зоны в рамках церемонии создания ключа при необходимости или по истечении пяти лет работы».

План-график

Указанные сроки могут изменяться в связи с соображениями практического характера.

  • 27 ктябрь 2016 года: процесс обновления KSK начинается с генерации нового KSK.
  • 11 Июль 2017 года: публикация нового KSK в DNS.
  • 19 сентября 2017 года: увеличение размера ответа DNSKEY, поступающего от корневых серверов.
  • Дальнейшие сроки будут объявлены после переработки планов обновления KSK корневой зоны

Оперативные планы

  1. Оперативный план реализации процесса обновления ключа KSK-2017 [PDF, 741 KБ] — подробно описывает операционные шаги по реализации проекта обновления ключа KSK на 2017 год, включая сроки выполнения каждого из восьми этапов. Этот документ в настоящее время обновляется с учетом объявления от 27 сентября о переносе сроков обновления.
  2. План отката процесса обновления ключа KSK-2017 [PDF, 506 KБ] —- описывает возможные отклонения от оперативного плана реализации, определяемые на основании аномалий, зафиксированных в ходе выполнения оперативного плана. Этот документ в настоящее время обновляется с учетом объявления от 27 сентября о переносе сроков обновления.
  3. План внешней проверки процесса обновления ключа KSK-2017 [PDF, 516 KБ] —- описывает подготовку определенных сообществом интернета условий эксплуатационных испытаний для оценки готовности внешних систем к участию в обновлении ключа KSK.
  4. План мониторинга процесса обновления ключа KSK-2017 [PDF, 437 KБ] — содержит план по наблюдению за последствиями изменения «якоря доверия» корневой зоны во входящем трафике корневых серверов.
  5. План тестирования систем процесса обновления ключа KSK-2017 [PDF, 519 KБ] — описывает действия, необходимые для проверки изменений инфраструктуры ICANN, связанных с обновлением ключа KSK.

Коммуникационный план

ICANN проводит обширную информационную кампанию, чтобы довести необходимые сведения до всех, кто в настоящее время использует KSK.

Domain Name System
Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."