Большинству уже известно, что ICANN объявила о своем решении отложить замену криптографического ключа, способствующего защите системы доменных имен (DNS). Первоначально планировалось осуществить эту замену или обновление 11 октября.
Мне хотелось бы подробнее рассказать о том, почему мы решили отложить обновление. Можно назвать это «историей внутри истории».
В прошлом не было способа, позволяющего определить настройки якорей доверия валидаторов расширений безопасности DNS (DNSSEC), что затрудняло оценку потенциальных последствий обновления ключа KSK корневой зоны. Однако недавно ситуация изменилась, и мы получили новые данные, которые просто нельзя игнорировать.
«Система передачи данных об известных якорях доверия в составе расширений безопасности DNS (DNSSEC)» (которая определена в документе RFC 8145) — это недавно разработанное расширение протокола, позволяющее валидатору передать DNS-серверам зоны данные о том, какие якори доверия у него настроены для этой зоны.
Работа над указанным протоколом завершилась только в апреле 2017 года, при этом он поддерживается только самыми последними версиями некоторого широко используемого программного обеспечения валидаторов (BIND 9.10.5b1 и 9.11.0b3 и более поздние версии, Unbound 1.6.4 и более поздние версии). Первоначально не ожидалось, что этот протокол будет внедрен достаточно широко, чтобы дать полезную информацию для первого обновления ключа KSK корневой зоны.
Однако во время исследований на самом начальном этапе (выполненных Verisign и впоследствии ICANN) был выявлен рост количества валидаторов, передающих корневым серверам данные о настройках якорей доверия. Полученные по адресам шести корневых серверов данные свидетельствуют о том, что в сентябре 2017 года примерно с 12 000 уникальных IP-адресов источников были переданы отчеты о настройках якорей доверия. Число таких отчетов растет и сейчас приближается к 1 400 уникальных адресов в день.
Поступающие отчеты указывают на то, что приблизительно в 5% от общего количества валидаторов и примерно в 6%–8% отчетов за любой конкретный день используется KSK-2010, то есть KSK корневой зоны, который применяется для подписания DNSKEY RRset корневой зоны в настоящее время. Важно отметить, что эти валидаторы не смогли бы правильно выполнять преобразование после планируемого обновления ключа KSK корневой зоны.
На основании этой новой информации мы решили отложить обновление ключа KSK корневой зоны по крайней мере на один квартал.
В течение всего проекта мы подчеркивали, что обновление ключа KSK корневой зоны происходит в нормальных рабочих условиях, и действовали осмотрительно и без спешки. Решение отложить обновление принято в соответствии с этим принципом осмотрительности, так как отсутствует оперативная необходимость продвигаться вперед, учтивая сохранение уверенности в том, что используемый сейчас ключ — KSK-2010 — обеспечивает безопасность.
Валидатор может сообщать об использовании только KSK-2010 по ряду причин: старая конфигурация со статичной настройкой якоря доверия (например, инструкция «trusted-key» в BIND) или невозможность автоматического обновления якоря доверия с использованием протокола автоматизированного обновления RFC 5011 из-за ошибки в программного обеспечении, ошибка оператора или другая причина.
Учитывая относительно высокую долю валидаторов, использующих только KSK-2010, ICANN убеждена в необходимости понять причины этого, прежде чем продолжать обновление ключа KSK корневой зоны. Скоро мы опубликуем список валидаторов, сообщающих об использовании только KSK-2010, и попросим оперативное сообщество помочь в идентификации, диагностике и исправлении этих систем.
Мы признательны сообществу за понимание и рассчитываем на вашу помощь в сборе информации, необходимой для продолжения обновления ключа KSK корневой зоны.
