Logo
ICANN
ICANN
Filtered Search

Are you sure you want to sign out from http://www.icann.org?

If you want to sign out from both http://www.icann.org and ICANN Account, click here.

Блоги ICANN

Читайте блоги ICANN, чтобы получать новости о деятельности в области формирования политики, региональных мероприятиях и других событиях.

На этой неделе ICANN аннулирует старый ключ для подписания ключей

7 января 2019

Если вы следили за обновлением ключа для подписания ключей корневой зоны (KSK) 11 октября 2018 года, то могли подумать, что этот процесс уже завершен. Однако для полного обновления KSK нужно выполнить еще несколько важных технических шагов. Одним из таких шагов является аннулирование старого ключа, которое произойдет 11 января 2019 года.

В настоящее время в корневой зоне находятся два KSK: старый (KSK-2010) и новый (KSK-2017). После обновления ключа только KSK-2017 используется для подписания комплекта ключей корневой зоны, то есть всех ключей расширений безопасности системы доменных имен (DNSSEC) на корневом уровне. Теперь, когда KSK-2010 больше не используется для создания подписей, пора аннулировать этот ключ и удалить его из корневой зоны.

Перед полным удалением KSK-2010 из зоны мы хотим пометить этот ключ как аннулированный для всех резолверов, соблюдающих стандарт «Автоматизированные обновления якорей доверия DNSSEC» (RFC 5011). Когда старый ключ будет помечен как аннулированный, любая система, использующая RFC 5011, сможет распознать, что KSK-2010 стал недействительным, и перестанет доверять данному ключу. Метка аннулирования будет видна до 22 марта 2019 года — даты, когда KSK-2010 будет полностью и навсегда удален из корневой зоны.

Аннулирование приведет к незначительному увеличению размера ключа корневой зоны. Корпорация ICANN не ожидает, что аннулирование создаст какие-либо проблемы. Однако операция аннулирования KSK в системе доменных имен (DNS) выполняется впервые, поэтому корпорация ICANN и техническое сообщество DNS будут внимательно следить за состоянием системы по крайней мере в течение 48 часов после опубликования аннулированного KSK-2010.

Корпорация ICANN настоятельно рекомендует поставщикам больше не включать KSK-2010 в состав поставляемых продуктов. Аналогичным образом всем, кто вручную ведет список якорей доверия DNS, следует удалить KSK-2010 из своих конфигураций.

Мы будем сообщать обо всех замеченных существенных проблемах через лист рассылки ksk-rollover@icann.org — наш основной канал для сообщений об обновлении KSK.

Вам также может понравиться

Последние статьи

Статьи автора

Расширенный поиск

Найти

Хотите получать больше аналогичных материалов?

Подписаться