В 2017 году корпорация ICANN инициировала процедуру замены криптографического ключа KSK корневой зоны DNS (Root zone KSK rollover). Новый ключ KSK-2017 опубликован в описании корневых зон DNS с 11 июля и начнет применяться с 11 октября. В январе 2018 года старый ключ KSK будет отозван.
Замена ключа KSK затрагивает всех администраторов DNS-серверов, поддерживающих расширение DNSSEC (валидирующих рекурсивных резолверов). Такие DNS-серверы могут принадлежать операторам связи, интернет-компаниям и другим организациям. По оценкам ICANN, DNS-серверы с поддержкой DNSSEC используют 750 млн. интернет-пользователей.
DNS-резолверы MSK-IX обеспечивают полную поддержку расширений DNSSEC, включая RFC5011. Все необходимые настройки для автоматической ротации ключа KSK корневой зоны DNS активированы. Согласно правилам RFC5011, внесение ключа KSK-2017 в список доверенных на резолверах MSK-IX произойдёт 11 августа 2017 года.
Специалисты MSK-IX вовлечены во внедрение DNSSEC в национальных доменах с момента обнаружения «уязвимости Камински» в 2008 году. При их участии, совместно с коллегами из «Технического Центра Интернет» (ТЦИ), 18 октября 2011 был подписан домен SU, 29 октября 2012 года – домен .RU и 21 декабря 2012 года – домен .РФ.
Автор: MSK-IX
Рубрики: Интернет, Безопасность