Обновление ключа для подписания ключей (KSK) корневой зоны Pусский

Обновление ключа для подписания ключей (KSK) корневой зоны　Pусский
【外部リンク】
https://www.icann.org/resources/pages/ksk-rollover-2016-07-27-ru
Обновление ключа для подписания ключей (KSK) корневой зоны

Страница также доступна на следующих языках:EnglishالعربيةEspañolFrançais日本語한국어PortuguêsPусский中文
Root Zone KSK Rollover
Обзор
Ресурсы
Участие
Историческая справка
План-график
Оперативные планы

Новости
27 октября 2016 года — Начинается обновление ключа для подписания ключей

22 июля 2016 года — DNSSEC: выпуск ключа для подписания ключей корневой зоны

21 июня 2016 года — Оптимальные методы обеспечения безопасности: Проверка DNSSEC

9 мая 2016 года — замена ключей корневой зоны системы доменных имен (DNS)

Обзор
ICANN планирует провести обновление ключа для подписания ключей (KSK) расширений безопасности системы доменных имен (DNSSEC) в корневой зоне, как предусмотрено документом «Положение о работе с DNSSEC для оператора KSK корневой зоны» [TXT, 99 KБ].

Обновление KSK означает создание новой пары криптографических ключей — открытого и секретного — и распространение нового открытого компонента среди сторон, которые управляют операционными распознавателями, в том числе: интернет-провайдеров; администраторов корпоративных сетей и других операторов распознавателей системы доменных имен (DNS); разработчиков программного обеспечения для распознавателей DNS; системных интеграторов; дистрибьюторов оборудования и программного обеспечения, которые устанавливают или поставляют «якорь доверия» корневой зоны. KSK применяется для криптографического подписания ключа подписания зоны (ZSK), используемого специалистом по обслуживанию корневой зоны для подписания корневой зоны DNS интернета с помощью DNSSEC.

Обеспечение актуальности KSK после его обновления — важная гарантия сохранения возможности проверять достоверность доменных имен, подписанных с помощью DNSSEC. В случае отсутствия действующего KSK корневой зоны стороны, задействованные в проверке DNSSEC, не смогут проверить ответы DNS на наличие стороннего вмешательства и, соответственно, на всезапросы, подписанные с помощью DNSSEC, будут отвечать сообщением об ошибке.

Планы обновления KSK разработаны партнерами по обслуживанию корневой зоны, каковыми являются: ICANN как оператор функций Администрации адресного пространства интернета (IANA), компания Verisign как специалист по обслуживанию корневой зоны, Национальное управление по телекоммуникациям и информации (NTIA) Министерства торговли США как администратор корневой зоны. Эти планы будут включать в себя подготовленные сообществом рекомендации группы разработчиков процедуры обновления KSK корневой зоны [PDF, 1,01 MБ], откорректированные с учетом оперативных требований и ограничений. С этого момента последующие обновления KSK будут выполняться ICANN в соответствии с данными совместно подготовленными планами.

Ресурсы
Дополнительные сведения и источники доступны на следующих страницах:

Краткое руководство: Подготовка систем к обновлению KSK корневой зоны [PDF, 111 KB]
Вкратце об обновлении KSK [PDF, 299 KБ]
Обновление KSK: вопросы и ответы [PDF, 185 KБ]
Рекомендации по обновлению ключа KSK DNSSEC корневой зоны: https://www.iana.org/reports/2016/root-ksk-rollover-design-20160307.pdf [PDF, 1,01 MБ]
DNSSEC: https://www.icann.org/resources/pages/dnssec-2012-02-25-en
DNSSEC для всех — руководство для начинающих (ICANN-55): https://meetings.icann.org/en/marrakech55/schedule/sun-dnssec-everybody
Семинар по DNSSEC (ICANN-55): https://meetings.icann.org/en/marrakech55/schedule/wed-dnssec
IANA — управление корневой зоной: https://www.iana.org/domains/root
Пояснение SSAC в отношении обновления ключа DNSSEC в корневой зоне: https://www.icann.org/en/system/files/files/sac-063-en.pdf [PDF, 480 KБ]
Участие
Задайте вопрос
Направьте письмо со своими вопросами по электронной почте по адресу globalsupport@icann.org , указав «Обновление KSK» в строке «Тема».

Посетите мероприятие
Просмотрев календарь мероприятий, вы узнаете о предстоящих презентациях, связанных с обновлением KSK.

Воспользуйтесь социальными сетями
Присоединяйтесь к обсуждению с помощью хэштега
#KeyRoll: https://twitter.com/icann

Станьте подписчиком листа обсуждения обновления KSK
Подпишитесь на лист рассылки для общественного обсуждения вопросов, связанных с этой темой: https://mm.icann.org/listinfo/ksk-rollover

Поделитесь информацией
Расскажите об этой странице другим людям, чтобы они смогли больше узнать об обновлении KSK и о том, как это может на них повлиять.

Историческая справка
В 2009 году партнеры по управлению корневой зоной объединили свои усилия для развертывания DNSSEC в корневой зоне. Кульминацией этой работы стала первая публикация в июле 2010 года подписанной корневой зоны с возможностью проверки.

Требования [PDF, 116 KБ] к генерированию и обслуживанию KSK корневой зоны, а также соответствующие обязанности каждого из партнеров по управлению корневой зоной были определены NTIA. Процедуры, используемые для выполнения таких требований специалистом по обслуживанию корневой зоны (Verisign) и оператором функций IANA (ICANN, были опубликованы в двух отдельных Положениях о работе с DNSSEC (DPS): «DPS для оператора услуг подписи DNSSEC компании Verisign» [PDF, 138 KБ] и «DPS для оператора KSK корневой зоны» [TXT, 99 KБ].

В июле 2010 года договор об исполнении функций IANA между NTIA и ICANN был изменен — в него были включены обязанности, связанные с управлением ключом KSK корневой зоны, и затем эти требования переместились во все последующие редакции этого договора.

В соглашение о сотрудничестве между NTIA и Verisign в июле 2010 года также были внесены поправки, отражающие обязанности Verisign как оператора ключа подписания корневой зоны.

Согласно договору об исполнении функций IANA ICANN должна выполнить обновление ключа KSK корневой зоны, однако конкретные требования, подробный график или план реализации таких действий не указаны. В положении DPS для оператора KSK корневой зоны в разделе 6.5 содержится следующее указание, определяющее требования к обновлению ключа:

«Необходимо запланировать обновление каждого ключа KSK корневой зоны в рамках церемонии создания ключа при необходимости или по истечении пяти лет работы».
План-график
Указанные сроки могут изменяться в связи с соображениями практического характера.

27 ктябрь 2016 года: процесс обновления KSK начинается с генерации нового KSK.
11 Июль 2017 года: публикация нового KSK в DNS.
19 сентября 2017 года: увеличение размера ответа DNSKEY, поступающего от корневых серверов.
11 Октябрь 2017 года: новый KSK начинает использоваться для подписания набора ключей корневой зоны (фактический процесс обновления ключа).
11 Январь 2018 года: отзыв старого KSK.
22 марта 2018 года: последний день использования старого KSK в корневой зоне.
август 2018: удаление старого ключа из оборудования в обоих центрах ICANN по управлению ключом.
Оперативные планы
Оперативный план реализации процесса обновления ключа KSK-2017 [PDF, 741 KБ] — подробно описывает операционные шаги по реализации проекта обновления ключа KSK на 2017 год, включая сроки выполнения каждого из восьми этапов.
План отката процесса обновления ключа KSK-2017 [PDF, 506 KБ] —- описывает возможные отклонения от оперативного плана реализации, определяемые на основании аномалий, зафиксированных в ходе выполнения оперативного плана.
План внешней проверки процесса обновления ключа KSK-2017 [PDF, 516 KБ] —- описывает подготовку определенных сообществом интернета условий эксплуатационных испытаний для оценки готовности внешних систем к участию в обновлении ключа KSK.
План мониторинга процесса обновления ключа KSK-2017 [PDF, 437 KБ] — содержит план по наблюдению за последствиями изменения «якоря доверия» корневой зоны во входящем трафике корневых серверов.
План тестирования систем процесса обновления ключа KSK-2017 [PDF, 519 KБ] — описывает действия, необходимые для проверки изменений инфраструктуры ICANN, связанных с обновлением ключа KSK.