ru

Минимальные последствия для пользователей, ожидаемые в результате обновления ключа для подписания ключей (KSK) корневой зоны

18 июля 2018

Baher EsmatBaher Esmat, VP, Stakeholder Engagement - Middle East and Managing Director Middle East and Africa

Корпорация ICANN полагает, что обновление якоря доверия расширения безопасности системы доменных имен (DNSSEC) для глобальной системы доменных имен (DNS) 11 октября 2018 года повлияет на незначительное количество пользователей DNS. Решение обновить ключ для подписания ключей (KSK) корневой зоны было принято после проведения масштабной информационно-пропагандистской работы и тщательного изучения всех имеющихся данных.

Поскольку изначально корневая зона DNS была подписана в 2010 году, в Заявлении о методиках и политике поддержки DNSSEC на корневых серверах1 было отмечено, что KSK корневой зоны должен быть изменен. К счастью, большинство валидирующих резолверов, отслеживающих новый KSK корневой зоны, должны настраивать его для нового якоря доверия автоматически с помощью «Автоматизированных обновлений якорей доверия безопасности DNS (DNSSEC)» в соответствии с RFC50112. Оператор резолвера также может обновлять конфигурацию якоря доверия вручную, если он ознакомлен с изменением KSK корневой зоны в результате различных информационных мероприятий ICANN.

Стандартизированного или детерминированного способа активного определения правильности настройки якорей доверия валидирующим резолвером не существует. Оптимальным существующим способом является «Информация о якоре доверия в DNSSEC» (включено в RFC 81453). опубликованное в апреле 2017 года. В этом протоколе валидаторы формируют запрос DNS, содержащий идентификаторы ключа DNSKEY заданных якорей доверия в имени запроса. Данные запросы могут пассивно отслеживаться в трафике на корневых серверах. В сентябре 2017 года лишь небольшое количество резолверов использовали данный протокол, а объявления о якорях доверия демонстрировали высокий процент неверно настроенных якорей доверия по сравнению с ожидаемым. Однако на полученный сигнал не было реакции, и в результате корпорация ICANN решила отложить обновление KSK корневой зоны до лучшего понимания сигнала с помощью технического сообщества.

Дальнейшие исследования сотрудниками офиса CTO (OCTO) корпорации ICANN, а также прочими службами позволили выявить проблемы, связанные с качеством данных RFC 8145. Например, запрос DNS с информацией о якоре доверия, передаваемый на сервер пересылки, обрабатывается так же, как и другие запросы, и передается в корневой сервер независимо от его подтверждения сервером пересылки. Так, в результате реализации популярного резолвера DNS был получен сигнал о якоре доверия несмотря на то, что резолвер не был настроен на подтверждение и, соответственно, не имел нового якоря доверия. Решение о данной реализации было отменено в последующем выпуске программного обеспечения. В другом примере от известной библиотеки резолверов DNS был получен сигнал о якоре доверия, однако она не имела возможности автоматически обновлять настройки якоря доверия. В результате единоразовая реализация популярной однопользовательской сети VPN, использующей указанную библиотеку резолверов DNS, со временем позволила бы передавать прежний сигнал якоря доверия от различных адресов-источников. Вес Хардэкер (Wes Hardaker) из Института информатики Университета Южной Калифорнии обнаружил данный алгоритм и разработчик, использующий библиотеку, был проинформирован о данной ситуации и смог обновить программное обеспечение. Данное изменение позволило существенно сократить количество источников, сообщающих о прежнем якоре доверия.4

Однако в данных RFC 8145 содержатся сведения только о резолверах; в них нет информации о количестве конечных пользователей, зависящих от этих резолверов. Для понимания количества пользователей, которое охватывают эти валидирующие резолверы, региональная интернет-регистратура для Азиатско-тихоокеанского региона (APNIC) использовала систему измерения, которая основана на рекламной сети Google для составления запросов DNS. Анализируя пересечения источников сигнала якорей доверия ICANN с собственными источниками резолверов и затем экстраполируя данные, APNIC определил, что обновление KSK корневой зоны отрицательно повлияло бы лишь на 0,05% интернет-пользователей.5

В перспективе корпорация ICANN вскоре достигнет 1000 интернет-провайдеров (ISP) с самым активным трафиком резолверов, что предполагает подтверждение DNSSEC для обеспечения осведомленности о предстоящем обновлении KSK корневой зоны 11 октября 2018 года. Для этих ISP также будут изучены их планы подготовки к обновлению, что позволит добиться лучшей осведомленности указанных операторов резолверов об обновлении KSK.

С момента первого объявления о разработке обновления якорей доверия в 2015 году корпорация ICANN проводила кампанию по информированию, которая включала (на текущий момент) почти 100 выступлений на международных, региональных и национальных конференциях, а также более 150 новостных сообщений в технической прессе. Корпорация ICANN также опубликовала девять статей в блогах, связанных с обновлением якорей доверия, и продолжает работу с ISP, имеющими в своих сетях валидирующие резолверы, которые на основании данных RFC 8145 не имеют новых настроенных якорей доверия.

В результате подобной работы и данных, которые удалось собрать, корпорация ICANN смогла укрепить свою уверенность в том, что обновление KSK корневой зоны, запланированное на 11 октября 2018 года, повлияет лишь на небольшое количество пользователей DNS.

 


1 https://www.iana.org/dnssec/icann-dps.txt

2 https://datatracker.ietf.org/doc/rfc5011/

3 https://datatracker.ietf.org/doc/rfc8145/

4 http://root-trust-anchor-reports.research.icann.org/

5 http://www.potaroo.net/ispcol/2018-04/ksk.pdf [PDF, 184 KB]

Baher Esmat
Baher Esmat
VP, Stakeholder Engagement - Middle East and Managing Director Middle East and Africa

Baher Esmat

Read biographyRead biography