ICANN примет окончательное решение по смене KSK
ICANN пояснила, чего следует ожидать после первого в истории обновления криптографических ключей корневой зоны.
17 сентября 2018 года состоится заседание членов организации ICANN, в ходе которого, вероятно, будет принято окончательное решение, давать ли ход многолетнему проекту по смене криптографических ключей для протокола Domain Name System Security Extensions (DNSSEC). Эта пара ключей также известна как ключ корневой зоны для подписания ключей (KSK) и обеспечивает защиту фундаментальных серверов интернета. Первое в истории Сети обновление KSK запланировано на 11 октября текущего года. Смена ключей является важным шагом в усилении безопасности, как и привычка пользователей регулярно менять пароли, считает ICANN. Обновление защитит от вредоносной активности, в частности сделает невозможным для злоумышленников перехват сеанса и перенаправление пользователей на вредоносные сайты.
Замена KSK 2010 на KSK 2017 должна была состояться еще в прошлом году, но была отложена почти на год, поскольку в то время могла вызвать проблемы с подключением к интернету у многих пользователей Сети. Обновление KSK предполагает создание новой пары открытого и закрытого ключа и предоставление открытого ключа операторам валидирующих резолверов (ПО для конвертации буквенных названий сайтов в нумерологические IP-адреса).
Согласно опубликованному в прошлом месяце руководству ICANN, смена ключей затронет лишь немногих пользователей. «На текущий момент небольшой ряд рекурсивных резолверов, валидирующих расширения безопасности системы доменных имен (DNSSEC), имеет неправильную конфигурацию, от чего могут пострадать некоторые пользователи, зависящие от этих резолверов», – говорится в руководстве.
Как пояснили эксперты ICANN, если в конфигурации якоря доверия резолвера не указан новый KSK, то в течение 48 часов после обновления ключа пользователи станут получать сообщения о невозможности разрешить имя (ошибки server failure или SERVFAIL). Предсказать, когда операторы проблемных резолверов заметят, что у них прекратилась валидация, невозможно.
С полным руководством ICANN о том, чего следует ожидать во время обновления KSK в корневой зоне, можно ознакомиться здесь .