Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Ротация корневого ключа DNSSEC
ICANN опубликовала документ (PDF), описывающий план по замене действующего корневого ключа KSK глобальной DNS на новый (ротацию KSK). Корневой KSK – это ключ, удостоверяющий данные в корневой зоне (он используется не напрямую, а через ZSK – ключ подписи зоны, но это детали). DNSSEC запустили в корне DNS в 2010 году без утверждения процедуры ротации главного ключа. Сейчас такая процедура появилась.
В кратком изложении план выглядит так: в апреле этого, 2016, года запустят процесс генерации нового KSK; в январе следующего (2017) года этот новый KSK должен быть опубликован в корневой зоне, при публикации он будет подписан действующим KSK; в апреле 2017 года новый KSK заменит старый при подписи ZSK, а спустя несколько месяцев – старый KSK будет отозван и, следующим шагом, удалён из DNS. Кроме того, в январе 2017 новый KSK должен быть опубликован другими способами, не в DNS.
Заменить корневой KSK необходимо во всех валидирующих резолверах. Те из них, которые поддерживают автоматизированный процесс (RFC 5011), смогу установить ключ автоматически (проверив данные из DNS). В других случаях – нужно заменить ключ вручную.
Сейчас для корневого KSK используется RSA-2048. Замены алгоритма или длины ключа при первой ротации не запланировано (одна из основных претензий к DNSSEC – криптосистема RSA и малая длина ключа).
()
Похожие записки:
- Удостоверяющие центры TLS-сертификатов Рунета
- Сервис проверки настроек веб-узлов
- Криптографическая библиотека для Arduino: дополнение для новых IDE
- Капитолийские ноутбуки
- Полностью зашифрованные протоколы в Интернете
- DNS-over-TLS на авторитативных серверах DNS
- Статья Cloudflare про ECH/ESNI
- Персоны и идентификаторы
- DNS-over-TLS как инструмент трансляции доверия в DNSSEC
- TLS 1.3 в Рунете
- Обновление описания TLS
- Мониторинг: фитнес-браслет и смартфон
- Симметрии и дискретное логарифмирование
- Взлом Twitter и влияние на офлайн