Обновление главного ключа DNSSEC может быть снова перенесено

Обновление главного ключа DNSSEC может быть снова перенесено
ICANN уже давно планирует обновить KSK - главный криптографический ключ протокола безопасности DNSSEC.

Криптографический ключ ZSK (ключ подписания зоны) обновляется каждый квартал, но KSK (ключ подписания ключей) не обновлялся ни разу с момента его создания.

Его обновление планируется уже на протяжении нескольких лет, но каждый раз оно откладывается. Ближайшая дата - 11 октября этого года, но, возможно, обновление KSK снова будет отложено.

Причина задержек - то, что во время процедуры обновления ключа, которая будет длиться 48 часов, часть пользователей может лишиться доступа к Интернету. Причина этого - в том, что некоторые интернет-провайдеры используют устаревшие или неверные настройки, а ICANN не может связаться с ними.

По оценкам ICANN, во время смены KSK около 8 000 DNS-резолверов дадут сбои. Предположительно, ими обслуживается около двух миллионов человек, или 0,05% пользователей сети Интернет.

На заседании SSAC (Комиссии по вопросам безопасности и стабильности ICANN) большинство его членов сочли такой риск допустимым и высказались за обновление KSK в этом году. Но пять членов комиссии высказались против. По их мнению, не стоит проводить мероприятие, в результате которого пользователи рискуют внезапно потерять доступ к сети, а обновление KSK отнюдь не является срочным мероприятием.

14 сентября в Брюсселе будет проведено совещание руководства ICANN, на котором будет принято решение по этому вопросу.



24/08/2018


Поделиться

Полезные статьи