Новый ключ DNSSEC: готов ли к нему мир?
Второй день работы конференции ENOG 15 был наполнен интересными докладами, в которых рассказывалось о том, что происходит в мире интернет-технологий, какие новые сетевые протоколы находятся в разработке, что делается для обеспечения безопасности сети и о многом другом.
Один из интересующих техническое сообщество вопросов – сроки, когда будет произведена замена ключей корневой зоны DNSSEC – так и не получил четкого ответа. О том, почему так происходит, рассказал Эдвард Льюис (ICANN). В своем докладе «Текущее состояние развертывания ключей корневой зоны DNSSEC» он проанализировал сложившуюся ситуацию. Новый ключ, KSK 2017, должен был прийти на смену KSK 2010 еще в 2017 году, но этого не произошло. Как выяснилось, его замена и прекращение действия RSR 2010 привели бы к тому, что почти четверть интернет-пользователей мира или 750 миллионов человек потеряли бы возможность доступа к интернет-ресурсам по доменному имени, а также не смогли бы переписываться со своими друзьями и коллегами посредством электронной почты.
Как сообщалось на сайте ICANN, «причин того, почему новый ключ еще не установлен в системах у операторов, может быть множество: у некоторых установлена неправильная конфигурация программного обеспечения резолверов; кроме того, недавно была выявлена еще одна проблема – одна из распространенных программ резолверов не обновляет ключ автоматически, как должна».
Эдвард Льюис рассказал о проведенных исследованиях, которые, по его словам, «дали совсем не ту картину, которую хотелось бы видеть». Сегодня ICANN направляет свои усилия на то, чтобы операторы настроили свои резолверы на новый ключ, и проверяли это с помощью специальной платформы ICANN к обновлению ключа. «Готов ли мир к новому ключу DNSSEC?» – задал Эдвард Льюис риторический вопрос и пояснил, что старый ключ KSK 2010, разумеется, в итоге будет удален, но это дело будущего.
Отметим, что на недавно прошедшей встрече технического директора ICANN с руководством MSK-IX также обсуждалась необходимость проведения процедуру замены криптографического ключа KSK, используемого в расширениях DNSSEC. Год назад MSK-IX опубликовала рекомендации для владельцев DNS-резолверов по обновлению криптоключей корневой зоны DNS и активировала все необходимые настройки для автоматической ротации ключа KSK корневой зоны DNS. Внесение ключа KSK в список доверенных на резолверах MSK-IX произойдет согласно правилам RFC 5011. Обновление нужно для продолжения нормальной работы расширений DNSSEC, обеспечивающих защиту данных DNS от подмены.