Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Ротация корневых ключей DNS IANA
ICANN принимает комментарии общественности по вопросу ротации корневого KSK, используемого в глобальной DNSSEC. Корневую зону DNS администрирует организация IANA (при участии VeriSign). Напомню, что для генерации подписей корневой зоне используют ключ ZSK (Zone Signing Key), который, в свою очередь, удостоверен подписью, полученной при помощи корневого KSK (root Key Signing Key). Этот последний KSK является неким самым главным ключом от DNS, встроенным в валидирующие резолверы, позволяющим строить “цепочку доверия”.
Криптографические ключи принято периодически менять. Занятно, что для корневого KSK за эти годы не было предложено стандартной процедуры ротации. Основная проблема состоит в том, что клиентские резолверы, которых уже существует большое разнообразие, могут не получить новый ключ. Многие из них настроены вручную и, несмотря на существование RFC5011, рискуют остаться со старым ключом, который станет непригоден для проверки подписей. Таким образом, валидация сломается, адреса перестанут работать, а те, кто использует валидирующие резолверы – опять разозлятся и отключат DNSSEC. Ну, возможно, отключат.
Комментарии по проблеме принимают до 31 мая. Эту дату могут и сдвинуть. Когда проведут ротацию ключей и каким методом – пока вообще не ясно. Скорее всего, будет отдельный проект и несколько рабочих групп. Это в традиции ICANN.
()
Похожие записки:
- Обновление темы dxdt.ru
- DNS как транспорт для сигналов и данных
- Браузеры и перехват TLS без участия УЦ
- Десятилетие DNSSEC в российских доменах
- Дирижабли в 2008 году
- Открытые "исходники" и "бинарный" код с точки зрения ИБ
- Ретроспектива заметок: деанонимизация по географии
- S/MIME-сертификаты ТЦИ
- "Пасхалки" в трафике
- Сорок лет Интернету
- Пресертификаты в Certificate Transparency
- Экспериментальный сервер TLS 1.3: замена сертификатов
- Техническое описание TLS: обновление 2022
- HTTPS-запись в DNS для dxdt.ru
- Вращение Солнца и соцопросы
- "Яндекс.Браузер" и российские сертификаты TLS в вебе
- Техническое: связь SCT-меток с логами Certificate Transparency
1 комментарий от читателей
1. 16th April 2013, 00:57 // Читатель jno написал:
как-то уж очень по-корпоративному…