ru

Недавнее обновление ключа KSK: итоги и дальнейшие действия

30 октября 2018
Автор Paul HoffmanPaul Hoffman

В дополнение к языкам, использующимся в ООН, этот материал также доступен на

Мы надеемся, вам уже известно, что главный криптографический ключ корневой зоны DNS был заменен 11 октября 2018 года в результате продуманно организованной серии шагов. Результат оказался на удивление хорошим: замена ключа (обычно называемая обновлением) негативно повлияла на гораздо меньшее число интернет-пользователей, чем кто-либо ожидал. Для полного завершения процесса обновления ключа необходимо сделать еще ряд вещей, но основная задача выполнена без затруднений.

Немного о предыстории вопроса: обновление ключа было предусмотрено еще при первом подписании корневой зоны с использованием DNSSEC в 2010 году, а серьезная работа по планированию началась в декабре 2014 года, когда ICANN попросила волонтеров из сообщества вместе с группой разработчиков составить план обновления ключа для подписания ключей корневой зоны или KSK. (KSK подписывает другие ключи в зоне, называемые ZSK.) Этот план был опубликован в марте 2016 года и рассмотрен сообществом. Корпорация ICANN преобразовала проект в конкретные рабочие планы (подробности представлены здесь), и приступила к их осуществлению в начале 2017 года, в частности, развернула широкую информационную деятельность, чтобы обеспечить готовность операторов резолверов.

Обновление ключа было намечено на 11 октября 2017 года, но месяцем ранее было отложено из-за непонятных сигналов, наблюдаемых в системе корневых серверов. После внимательного изучения указанных сигналов ICANN предложила сообществу [PDF, 162 KB] назначить новую дату обновления — 11 октября 2018 года, и Правление ICANN утвердило новый срок в сентябре 2018 года.

Когда настало 11 октября, мы шаг за шагом выполнили рабочие планы и в 16:00 по UTC KSK, используемый для подписания корневой зоны, был заменен на новый ключ, созданный в 2017 году. Мы ожидали, что некоторые операторы резолверов не будут готовы к этому, несмотря на все наши предыдущие попытки найти их и сообщить о намеченном обновлении заранее. Однако, когда корпорация ICANN и техническое сообщество DNS проанализировало отчеты о результатах обновления ключа, выяснилось, что операторы резолверов были хорошо подготовлены. Даже сейчас, когда после обновления ключа прошло уже больше двух недель, мы узнали всего лишь о горстке резолверов, испытавших проблемы, и, насколько нам известно, все они смогли вернуться в нормальный режим работы. ICANN получила информацию только о двух интернет-провайдерах (ISP), у которых возникли перебои во время обновления ключа и которые, возможно, пострадали из-за обновления ключа, но мы не смогли переговорить с этими людьми, чтобы определить первопричину их проблем.

Осталось сделать еще несколько вещей. Во-первых, необходимо официально аннулировать старый ключ. 11 января 2019 года старый ключ, который был опубликован и находился в корневой зоне все это время, будет изменен, чтобы указать на то, что он стал недействительным и резолверы должны удалить его из своих конфигураций. Вскоре после этого ICANN опубликует обширный отчет, охватывающий весь процесс обновления ключа, включая извлеченные уроки. Затем многие сообщества ICANN начнут обсуждение будущих обновлений ключа (необходимую периодичность, использование «резервных» ключей, виды данных, которые они хотят получать перед обновлениями ключа, и так далее) на основе уроков, которые были извлечены из обновления ключа и предшествующего процесса.

Если вы хотите следить за оставшимися этапами обновления ключа KSK корневой зоны и обсуждением будущих обновлений ключа, подпишитесь на лист рассылки ksk-rollover.

Authors

Paul Hoffman

Distinguished Technologist
Read biographyRead biography