Объявления ICANN

Читайте объявления ICANN, чтобы получать новости о деятельности в области формирования политики, региональных мероприятиях и других событиях.

Обновление ключа KSK откладывается

27 сентября 2017

В дополнение к языкам, использующимся в ООН, этот материал также доступен на

Сегодня Интернет-корпорация по присвоению имен и номеров (ICANN) объявила о том, чтоприведение в действие Плана изменения криптографического ключа который используется для защиты системы доменных имен (DNS), откладывается.

Изменение ключа подразумевает создание новой пары криптографических ключей и распространение нового открытого компонента ключа среди резолверов, осуществляющих валидацию DNSSEC (DNSSEC - расширения безопасности системы доменных имен). Если посмотреть на предполагаемое количество интернет-пользователей, которые используют резолверы, осуществляющие валидацию DNSSEC, изменение KSK может затронуть приблизительно четверть интернет-пользователей мира или 750 миллионов человек.

Смена - или «обновление» - ключа KSK была изначально запланирована на 11 октября, но эта дата переносится, потому что недавно полученные данные показывают, что значительное количество резолверов, которыми пользуются интернет-провайдеры и сетевые операторы, к ней еще не готовы.  Эта новая информация появилась благодаря совсем недавно введенной функциональности протокола DNS, которая позволяет резолверу сообщать корневым серверам о том, какие из ключей он отконфигурировал.

Причин того, почему новый ключ еще не установлен в системах у операторов может быть множество: у некоторых установлена неправильная конфигурация программного обеспечения резолверов; кроме того, недавно была выявлена еще одна проблема - одна из распространенных программ резолверов не обновляет ключ автоматически, как должна - причины выясняются.

ICANN обращается к своему сообществу, включая Консультативный комитет по безопасности и стабильности, региональные интернет-регистратуры, группы сетевых операторов и других, за помощью в изучении и разрешении этих проблем.

А тем временем ICANN считает целесообразным следовать собственным процессам и отложить смену ключа, чтобы не создавать риск возникновения отрицательных последствий для значительного количества интернет-пользователей. ICANN будет продолжать информировать о происходящем, а также взаимодействовать с соответствующими техническими организациями с целью обеспечить готовность к смене ключа.

«Наша основополагающая миссия - обеспечение безопасности, стабильности и отказоустойчивости системы доменных имен. Мы предпочитаем действовать аккуратно и осмотрительно, чем сменять ключ 11 октября», - заявил Йоран Марби (Göran Marby). «Раз мы выявили эти новые проблемы, было бы безответственно провести смену ключа, так как это может негативно сказаться на успехе всего предприятия и создать неудобства для конечных пользователей».

Новая дата обновления ключа еще не определена. Офис технического директора ICANN сообщил, что обновление ключа предварительно планируется перенести на первый квартал 2018 года, но что окончательное решение будет зависеть от достижения более полного понимания новой информации и возможностей снижения риска возникновения как можно большего количества потенциальных неисправностей.

ICANN будет предоставлять дополнительную информацию по мере ее поступления, а о новой дате обновления ключа будет объявлено отдельно.

«Мы надеемся, что сетевые операторы воспользуются этим дополнительным временем, чтобы проверить готовность своих систем к обновлению ключа», - сказал Марби. «Наша испытательная платформа (http://go.icann.org/KSKtest) призвана помочь операторам проверить, что их резолверы настроены правильным образом на новый ключ, а мы будем продолжать нашу работу по взаимодействию и информированию этих операторов».

О DNSSEC

Для легкого определения ресурсов в интернете базовые числовые адреса для этих ресурсов отображаются строками, которые способен прочесть человек. Превращением этих строк в номера занимается распределенная иерархическая система доменных имен (DNS). Произошедший с момента ее изобретения в 1983 году прогресс в областях программирования и сетей сделал эту «телефонную книгу» уязвимой. В ответ на эти угрозы международная организация по стандартизации, IETF, разработала DNSSEC для того, чтобы защитить данных DNS от скрытых изменений криптографическими методами. В полностью развернутом виде DNSSEC не позволяет взломщику перенаправить пользователей при помощи DNS.

##

Информация обо всем, что связано с обновлением ключа доступна здесь: https://www.icann.org/resources/pages/ksk-rollover

Социальные медиа: #Keyroll