Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Ротация корневого ключа DNSSEC
ICANN опубликовала документ (PDF), описывающий план по замене действующего корневого ключа KSK глобальной DNS на новый (ротацию KSK). Корневой KSK – это ключ, удостоверяющий данные в корневой зоне (он используется не напрямую, а через ZSK – ключ подписи зоны, но это детали). DNSSEC запустили в корне DNS в 2010 году без утверждения процедуры ротации главного ключа. Сейчас такая процедура появилась.
В кратком изложении план выглядит так: в апреле этого, 2016, года запустят процесс генерации нового KSK; в январе следующего (2017) года этот новый KSK должен быть опубликован в корневой зоне, при публикации он будет подписан действующим KSK; в апреле 2017 года новый KSK заменит старый при подписи ZSK, а спустя несколько месяцев – старый KSK будет отозван и, следующим шагом, удалён из DNS. Кроме того, в январе 2017 новый KSK должен быть опубликован другими способами, не в DNS.
Заменить корневой KSK необходимо во всех валидирующих резолверах. Те из них, которые поддерживают автоматизированный процесс (RFC 5011), смогу установить ключ автоматически (проверив данные из DNS). В других случаях – нужно заменить ключ вручную.
Сейчас для корневого KSK используется RSA-2048. Замены алгоритма или длины ключа при первой ротации не запланировано (одна из основных претензий к DNSSEC – криптосистема RSA и малая длина ключа).
Адрес записки: https://dxdt.ru/2016/03/09/7863/
Похожие записки:
- Техническое описание TLS: обновление 2022
- HTTPS-запись в DNS для dxdt.ru
- Ретроспектива заметок: ключ по фотографии
- Партнёрское API для сертификатов в ТЦИ
- Ретроспектива заметок: деанонимизация по географии
- Модули DH в приложении Telegram и исходный код
- Открытые "исходники" и "бинарный" код с точки зрения ИБ
- Реплика: атака посредника в TLS и проблема доверия сертификатам
- Говорилки в google-поиске
- S/MIME-сертификаты ТЦИ
- Десятилетие DNSSEC в российских доменах