Интернет-корпорация по присвоению имен и номеров (ICANN) рада сообщить о планах сгенерировать новый ключ для подписания ключей (KSK) корневой зоны для использования в расширениях безопасности системы доменных имен (DNSSEC). DNSSEC позволяет следить за тем, что информация, получаемая от DNS о доменном имени, является настоящей. Это помогает обеспечить безопасность интернета для его пользователей.
С генерированием нового ключа KSK будет возобновлен процесс, о котором объявлялось в прошлом году, и который был приостановлен после того, как выяснилось, что поставщик оборудования для хранения KSK (программно-аппаратный криптографический модуль или HSM) завершит работу в этой отрасли в течение предполагаемого срока действия нового KSK. В течение прошлого года специалисты Администрации адресного пространства Интернет (IANA) проанализировали несколько альтернативных поставщиков HSM и подобрали замену. Это объявление сопровождается анализом процедуры выбора поставщика и его последствий.
Новый ключ планируется сгенерировать на 53-й церемонии KSK 26 апреля 2024 года. Ключ будет скопирован и переведен на запасную площадку в третьем квартале 2024 года. IANA планирует приступить к предварительной публикации ключа в DNS в январе 2025 года. Ключ будет храниться в режиме ожидания около двух лет, после чего он начнет использоваться в конце 2026 года. За это время ICANN проведет развернутую кампанию по информированию, чтобы глобальное интернет-сообщество могло плавно перейти к использованию нового ключа.
Впервые ключ был заменен в рамках процедуры, известной под названием «обновление ключа», в 2018 году. Было сделано заключение, что процедура обновления ключа, проведенная по итогам нескольких лет переговоров, разработки и тестирования, была выполнена успешно. Генерирование нового ключа на мероприятии в апреле является первым этапом следующей фазы этого плана.
Дополнительная информация доступна на специальном сайте.
Безопасность и стабильность DNS требует возможности менять ключи. Обновление ключа корневого KSK, то есть замена одного ключа другим, позволяет реализовать эти механизмы для обеспечения рабочей готовности.
В новым ключе будет применен тот же криптографический алгоритм и размер ключа, которые используются на данный момент. Сейчас выполняется параллельный проект по разработке процедуры смены алгоритма, использующегося для подписи корневой зоны, результаты которого лягут в основу дальнейших изменений в этой сфере.
Для участия в обсуждении вопросов, связанных с обновлением KSK, подпишитесь на лист рассылки ksk-rollover.
О корпорации ICANN
Миссия ICANN — способствовать обеспечению стабильности, безопасности и единства глобального интернета. Для того, чтобы связаться с кем-нибудь в интернете, в компьютер или другое устройство необходимо ввести адрес – имя или номер. Этот адрес должен быть уникальным, чтобы компьютеры могли друг друга находить. ICANN помогает координировать работу этих уникальных идентификаторов во всем мире. ICANN была сформирована в 1998 году в качестве некоммерческой общественной корпорации и сообщества участников со всего мира.