Ротация корневого ключа DNSSEC отложена
ICANN отложила ротацию корневого ключа DNSSEC на неопределённое время. Первоначально, фактическую ротацию планировали провести 11 октября этого года. В качестве причины указаны данные о недостаточном распространении нового KSK (корневого ключа) по резолверам. Напомню, что корневой ключ (RSA, разрядностью в 2048 бит) в DNSSEC не менялся с момента внедрения технологии в глобальной DNS, то есть, с 2010 года. О механизме ротации при запуске просто забыли. За это время такой алгоритм ротации был предложен и утверждён согласно процессу IETF (RFC 5011), но теперь ICANN при помощи другого технологического механизма (RFC 8145) и косвенных данных обнаружила, что алгоритм ротации не работает.
В принципе, учитывая общую инертность глобальной DNS, а также разнообразие сочетаний платформ и настроек в базовых транспортах Интернета, откладывать ротацию можно сколь угодно долго: среди трафика, пригодного для анализа, всегда найдутся следы дефектных реализаций, которые могут сломаться при замене KSK. При этом, вовсе не факт, что послужившие источником “проблемных сигналов” системы вообще умеют валидировать DNSSEC. В Сети действует огромное количество “аномальных систем”, которые по тем или иным причинам пренебрегают требованиями протоколов. В классической DNS такая ситуация особенно распространена: протоколы спроектированы таким образом, что продолжают худо-бедно решать основные задачи даже при весьма существенных ошибках и нарушениях в реализации. Поэтому сомневаться, что при замене корневого KSK что-то сломается – не приходится в любом случае. Самое занятное, что сломаться могут даже те системы, которые не проводили валидацию DNSSEC.
Адрес записки: https://dxdt.ru/2017/09/29/8412/
Похожие записки:
- Реплика: эффекты наложенных сетей уровня браузера в вебе
- Письмо про приостановку разработки ИИ
- Экспериментальный сервер TLS 1.3: замена сертификатов
- GNSS и управление трактором
- Совпадения тегов ключей DNSSEC и парадокс дней рождения
- Падения Facebook.com
- CVE-2024-3094 про бэкдор в liblzma и теория ИБ
- Утечка DNS-запросов в ExpressVPN
- Различительная способность "обезличенных" данных
- Онлайн-фильтрация URL в браузере Chrome
- Обновление описания TLS
1 комментарий от читателей
1. 29th September 2017, 11:51 // Читатель Dmitry Belyavskiy написал:
Вообще то, что пишут по этому поводу, довольно разумно. Собираются составить список недонастроенных провайдеров и выйти на тех, кто ими рулит. Шанс есть.
Написать комментарий