[uanog] Немножко о DNSSEC

Taras Heychenko tasic at academ.kiev.ua
Thu Jun 15 19:37:28 EEST 2017 

     Hi!
Статистика говорит, что в Украине DNSSEC используется не очень активно. Тем не менее
в мире оно распространено чуть шире, и у многих провайдров может стоять валидирующий
резолвер, который проверяет DNSSEC. Приведу здесь перевод письма от ICANN, посвященный
предотвращению последствий по смене KSK ключа в рутовой зоне. Лучше проверить заранее.
P.S. Извините за кривоватый местами перевод -- художественная ценность не была целью. ;)

=========================================================
Добрый день,

ICANN предлагает тестовую платформу для операторов сети и других заинтересованных сторон, позволяющую
убедиться что ваши системы правильно отработают процесс автоматического обновления предстоящей смены
Key Signing Key (KSK) Root Zone Domain Name System Security Extension. На текущий момент смена KSK запланирована
на 11 октября 2017 года.

"На сейчас семь с половиной миллиардов людей используют DNSSEC валидирующие резолверы, на которые может повлиять
смена KSK", заявил вице президент ICANN по исследовательской деятельности Мэтт Ларсон (Matt Larson). "Тестовая платформа --
простой способ для операторов определиться, что их инфраструктура поддерживает способность обработать смену KSK без
ручного вмешательства."

Интернет сервис провайдеры, операторы сети и остальные участники сети, у кого включена валидация DNSSEC должны обновить
свои системы с новым KSK. Это может быть сделано одним из двух способов:

- Оператор может сконфигурировать (установить) новый trust anchor вручную, получив новый KSK root зоны с сайта iana.org по
адресу https://www.iana.org/dnssec/files
- Оператор может включить опцию, доступную во многих валидирующих резолверах, которая позволяет автоматически определить
и сконфигурировать (установить) новый KSK root зоны в качестве trust anchor, и в этом случае никаких дополнительных действие не
требуется.

Проверьте, готова ли ваша система, по адресу https://automated-ksk-test.research.icann.org/

KSK широко распространен и установлен каждым оператором, выполняющим DNSSEC валидацию. Если у резолвера, валидирующего
DNSSEC после смены KSK не будет установлен новый KSK, конечные пользователи, использующие данные резолвер будут получать
ошибки и испытывать проблемы с доступом в Интернет. Тщательность и скоординированные усилия необходимы для того, чтобы
обновление не повлияло на нормальную деятельность.

Больше информации доступно по адресу https://www.icann.org/resources/pages/ksk-rollover
=========================================================


--
Taras Heychenko
tasic at academ.kiev.ua

More information about the uanog mailing list