Опубликованы рекомендации MSK-IX по замене корневого криптоключа DNS

Обновление необходимо для продолжения нормальной работы расширений DNSSEC, обеспечивающих защиту данных DNS от подмены.

В 2017 году корпорация ICANN инициировала процедуру замены криптографического ключа KSK корневой зоны DNS (Root zone KSK rollover). Новый ключ KSK-2017 опубликован в описании корневых зон DNS с 11 июля и начнет применяться с 11 октября. В январе 2018 года старый ключ KSK будет отозван.

Замена ключа KSK затрагивает всех администраторов DNS-серверов, поддерживающих расширение DNSSEC (валидирующих рекурсивных резолверов). Такие DNS-серверы могут принадлежать операторам связи, интернет-компаниям и другим организациям. По оценкам ICANN, DNS-серверы с поддержкой DNSSEC используют 750 млн. интернет-пользователей.

MSK-IX является оператором публичных DNS-резолверов, построенных на отказоустойчивой распределённой инфраструктуре:

dns.msk-ix.ru
IPv4: 62.76.76.62
IPv6: 2001:6d0:6d0::2001

dns2.msk-ix.ru
IPv4: 62.76.62.76
IPv6: 2001:6d0:d6::2001

DNS-резолверы MSK-IX обеспечивают полную поддержку расширений DNSSEC, включая RFC5011. Все необходимые настройки для автоматической ротации ключа KSK корневой зоны DNS активированы. Согласно правилам RFC5011, внесение ключа KSK-2017 в список доверенных на резолверах MSK-IX произойдёт 11 августа 2017 года.

Специалисты MSK-IX вовлечены во внедрение DNSSEC в национальных доменах с момента обнаружения «уязвимости Камински» в 2008 году. При их участии, совместно с коллегами из Технического Центра Интернет (ТЦИ), 18 октября 2011 был подписан домен .SU, 29 октября 2012 года – домен .RU и 21 декабря 2012 года – домен .РФ.