Обеспечение целостности верхнего уровня DNS благодаря передовой практике обеспечения безопасности
В июле 2010 года ICANN, Verisign и NTIA добавили еще одну степень защиты к верхнему уровню DNS интернета, воспользовавшись технологией под названием DNSSEC — расширения безопасности системы доменных имен. Эта технология была разработана для защиты пользователей интернета от атак в результате перехвата доменных имен и взлома серверов определенных типов. Использование DNSSEC повышает уверенность в том, что полученная из DNS информация не была изменена в процессе передачи от источника данных до компьютера, отправившего запрос от имени пользователя, — это осуществляется путем добавления цифровой подписи и проверки подлинности данных DNS. Такая проверка подлинности опирается на «ключ для подписания ключей» или ключ, связанный с корнем DNS.
Как и при использовании любого ключа, пароля или системы безопасности, ключ для подписания ключей необходимо регулярно обновлять. В соответствии с передовой практикой, отдел ICANN, выполняющий обязанности оператора функций IANA, вместе с другими партнерами по управлению корневой зоной (компанией Verisign, выполняющей обязанности специалиста по обслуживанию корневой зоны, и Национальным управлением по телекоммуникациям и информации Министерства торговли США (NTIA), выполняющим обязанности администратора корневой зоны), выполняют подготовительную работу по «обновлению» или замене криптографической пары из открытого и закрытого ключей, которая называется ключом для подписания ключей корневой зоны (KSK), его открытая часть служит в качестве ключа для подписания ключей DNSSEC интернета. Обновление KSK означает создание новой пары и распространение открытого компонента среди разработчиков, распространителей или операторов распознавателей, осуществляющих проверку подлинности. Обновление KSK можно считать заменой замков в доме. В тех случаях, когда доменные имена снабжены подписью DNSSEC, при каждой попытке пользователя интернета подключиться к серверу, идентифицированному по доменному имени, производится попытка при помощи ключа открыть замок — убедиться в подлинности данных, связанных с этим доменным именем. Однако, если после замены замка не обновить ключи, дверь не откроется, операция распознавания доменного имени не будет выполнена и установить соединение не удастся. Потенциальные последствия обновления ключа подчеркивают необходимость широкого и отвечающего требованиям распространения ключа для подписания ключей для нового KSK. Чтобы гарантировать получение сообществом свежих новостей об обновлении KSK и появлении в результате этого нового ключа для подписания ключей, мы создали эту полезную страницу.
Когда интернет-сообщество впервые применило DNSSEC в корневой зоне, партнеры по управлению корневой зоной после консультации с сообществом установили, что «обновление KSK согласно регламенту будет осуществляться посредством проведения церемонии обновления ключа по мере необходимости или по истечении 5 лет эксплуатации». Хотя некоторые члены сообщества сочли это пятилетним нормативным сроком, график обновления KSK должен зависеть от рабочих реалий среды интернета. В течение прошлого года наиболее широко освещаемой темой была передача координирующей роли в исполнении функций IANA, однако параллельно продолжалась и работа над KSK. В будущем, чтобы сообществу было известно обо всей работе и комплексной проверке в связи с деятельностью по обновлению KSK, я буду представлять регулярные отчеты о нашем продвижении. Кроме того, мы будем проводить на конференциях ICANN и других технических форумах заседания, чтобы сообщить подробную информацию об обновлении KSK и действиях, которые необходимо выполнить лицам, заинтересованным в гладком обновлении KSK.
В ближайшие несколько недель мы сообщим более подробные сведения об обновлении KSK, однако вы можете ознакомиться с текущим графиком обновления:
- Октябрь 2016 года: начало процесса подготовки к обновлению ключа KSK
- Ноябрь 2016 года: генерирование нового KSK
- Июль 2017 года: ввод нового KSK в действие
- Октябрь 2017 года: вывод старого KSK из обращения
- Январь 2018 года: отзыв старого KSK
- Март 2018 года: завершение процесса обновления KSK
Безусловно, этот график подлежит изменению в зависимости от обстоятельств: обновление KSK, как и периодическая смена пароля, является передовой практикой, но его следует выполнять с должной аккуратностью и гарантией того, что оно не станет причиной сбоя в функционировании DNS интернета.
Те, кто желает активнее участвовать в обновлении KSK, могут подписаться на лист рассылки для общественного обсуждения по адресу https://mm.icann.org/listinfo/ksk-rollover или отправить имеющиеся вопросы по адресу [email protected], указав в строке темы электронного письма «KSK Rollover» («Обновление KSK»).
DNSSEC и обновление KSK вносят важный вклад в повышение безопасности и отказоустойчивости DNS. Мы обязуемся тесно сотрудничать с партнерами по управлению корневой зоны, операторами DNS и интернет-сообществом в целом по мере продвижения этой жизненно важной работы в течение следующих двух лет. По мере того, как мы — глобальное интернет-сообщество — готовимся к первому в истории обновлению KSK, нас наполняет энтузиазмом возможность дополнительного повышения безопасности сети и создания фундамента для будущей деятельности по развитию интернета.


