Сегодня ICANN создала новый ключ для подписания ключей (KSK) корневой зоны. Эта новая пара криптографических открытых/закрытых ключей была создана в ходе ежеквартальной церемонии генерации KSK корневой зоны в нашем защищенном дата-центре в в Кульперере, Вирджиния. Генерация этого ключа – первый рабочий этап первого в истории обновления KSK – ознаменовала начало процесса изменения «главного ключа» системы доменных имен (DNS). Ожидается, что для завершения процесса обновления KSK потребуется примерно два года.
KSK корневой зоны является надежной отправной точкой для проверки правильности расширений безопасности DNS (DNSSEC), так же как сама корневая зона является отправной точкой для преобразования DNS. Программное обеспечение для проверки правильности DNSSEC доверяет открытой части KSK корневой зоны, настроенной в преобразователях и известной под названием корневого «ключа для подписания ключей». Программное обеспечение для проверки DNSSEC создает «цепочку доверия» — последовательность ключей и подписей для проверки подлинности любых подписанных данных в DNS — начиная с ключа для подписания ключей. Однако, как и любой пароль, корневой ключ необходимо периодически менять. Обновление ключа KSK минимизирует риск взлома ключа и помогает обеспечить возможность смены ключа в случае его взлома или утраты.
После генерации нового ключа он будет подготовлен в ближайшие месяцы для ввода в эксплуатацию. Копия закрытой части пары ключей будет храниться во втором защищенном дата-центре ICANN в Эль-Сегундо, Калифорния. Новый KSK будет включен в файл ключа для подписания ключей, доступный в iana.org, в феврале 2017 года. Разработчики и интеграторы ПО DNS должны будут использовать новый ключ в своих продуктах. Массовое использование нового KSK начнется после его первой публикации в DNS 11 июля 2017 года. Эти мероприятия послужат подготовкой события фактического обновления ключа, когда новый ключ впервые будет использован для подписания в корневой зоне 11 октября 2017 года.
Операторы сетей, использующие валидацию DNSSEC в своих преобразователях DNS, должны будут после публикации обновить свои системы, включив в них новый корневой KSK.
Невыполнение требования об установке нового ключа для подписания ключей после 11 октября 2017 года приведет к тому, что все поиски в DNS, выполняемые по старым преобразователям, будут завершаться сбоем.
В случае появления таких сбоев клиенты, использующие эти преобразователи, будут вести себя так, словно веб-сайты, адреса электронной почты и все остальные домены не существуют. К счастью, большинство современных преобразователей с функцией валидации имеют автоматизированный механизм обновления ключа для подписания ключей. Тем не менее, после публикации нового ключа для подписания ключей в феврале 2017 года операторы сетей должны обеспечить наличие нового ключа. С этой целью они должны убедиться, что ключ был обновлен автоматически, или настроить его вручную.
