Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Техническое: ротация корневого ключа DNSSEC
В инфраструктуре DNSSEC существует самый верхний ключ – KSK корневой зоны. К этому ключу ведут все (штатные) цепочки валидации DNSSEC, соответствующие общепринятой структуре DNS с единым корнем. Главный корневой ключ не менялся с момента запуска DNSSEC в 2010 году: спроектировать и согласовать механизм замены ключа каким-то образом забыли. Сейчас такой механизм появился, и начался процесс подготовки ротации KSK корня DNS: 11 июля в корневой зоне опубликован новый ключ (KSK) – KSK-2017. Так как новый KSK подписан действующим, можно произвести его замену автоматически, используя только DNS. Алгоритм описан в RFC 5011. То есть, если валидирующий резолвер поддерживает RFC 5011, то можно ожидать, что он автоматически заменит старый ключ на новый. Тем не менее, лучше заранее проверить, что резолвер смог получить новый ключ и включил его в список доверенных. Фактическая замена ключей (rollover) намечена на осень этого года (11 октября 2017) – до этого момента нужно убедиться, что ваш резолвер сможет использовать новый ключ, иначе валидация, спустя какое-то время после ротации, полностью сломается.
KSK-2017 можно добавить в резолвер и в ручном режиме, например, скопировав значение ключа из корневой зоны и проверив подписи. Информация о корневых ключах также доступна на сайте IANA.
()
Похожие записки:
- DNS-over-TLS как инструмент трансляции доверия в DNSSEC
- Взлом Twitter и влияние на офлайн
- Сервис проверки настроек веб-узлов
- Обновление описания TLS
- Мониторинг: фитнес-браслет и смартфон
- Симметрии и дискретное логарифмирование
- TLS 1.3 в Рунете
- Полностью зашифрованные протоколы в Интернете
- Криптографическая библиотека для Arduino: дополнение для новых IDE
- Статья Cloudflare про ECH/ESNI
- Капитолийские ноутбуки
- DNS-over-TLS на авторитативных серверах DNS