Размер шрифта:
Межбуквенный интервал:
Изображения:
Отключить версию для слабовидящих close
Версия для людей с ограничением по зрению
Новости

ICANN81: вопросы безопасности и внедрения DNSSEC

14 ноября в рамках ICANN81 состоялся традиционный день, посвященный вопросам безопасности и внедрения DNSSEC, в котором приняли участие эксперты Координационного центра доменов .RU/.РФ.

Открыл семинар Ким Дэвис, вице-президент IANA и президент PTI. Он представил обновление Root Zone KSK Rollover и поделился планами ротации KSK корневой зоны, которая пройдет в 2026 году. В настоящее время используется KSK, созданный в 2016 году и опубликованный в 2017 году. Новый KSK, созданный 26 апреля 2024 года, находится на этапе предварительной публикации и, как ожидается, будет опубликован 11 января 2025 года, а активное использование для подписи ключей начнется с 11 октября 2026 года. Четвертое поколение KSK будет сгенерировано в 2027 году, и в качестве кандидатов рассматриваются алгоритмы RSA и ECDSA.  

Ватару Огаи (JPNIC) представил итоги проведенного исследования и созданного на его основе руководства по эффективному внедрению и использованию технологий RPKI, DNSSEC и DMARC в Японии. Он рассказал о совместном проекте с участием академических и деловых экспертов, Министерства внутренних дел и коммуникаций Японии (MIC), NTT Communications Corp, Mitsubishi Research Institute, Inc. (MRI) и Японского сетевого информационного центра (JPNIC). Докладчик выделил причины использования DNSSEC, проблемы с его реализацией и процесс разработки руководств по применению DNSSEC.

Далее состоялась традиционная презентация Университета Джорджа Мейсона о развертывании ключевых инструментов, связанных с DNS, по всему миру, которую провел Эрик Остервейл. Он поделился статистикой внедрения DNSSEC, DANE и RPKI в разных странах мира.

День продолжился выступлением Питера Томассена (deSEC), который представил новый отчет SSAC DNSSEC Delegation Signer Record Automation SAC 126. В отчете рассматриваются вопросы безопасности при автоматизированном управлении DS-записями.

Ульрих Виссер рассмотрел текущую работу над стандартом автоматизации DNSSEC, целью которой является описание шагов и API для процедуры ключа Multi-Signer.

Стив Крокер (Shinkuro), ставший модератором этой части дня, представил распределенную модель процедуры Multi-Signer, а Йохан Стенстам (Swedish Internet Foundation) подробно рассказал об архитектуре этой модели на примере прототипа системы, позволяющего реализовать Multi-Signer. Далее Кван Нгуен (George Mason University) сделал доклад о возможностях повышения отказоустойчивости процедуры Multi-Signer при помощи модели защиты Independent Point of Failure. Модель направлена на выявление потенциальных точек отказа, их количественную оценку и предложение мер защиты.

Заключительная сессия дня началась с презентации проекта Public Suffix List, поэтически названного «The „RainbowBridge“». Йотан Фрейкс (PLISK) объяснил, с какой целью создается всеобъемлющий машиночитаемый список доменных зон всех уровней, который включает не только общие и национальные TLD, но также зоны второго и третьего уровня, такие как .co.uk. Список общедоступных суффиксов направлен на создание всеобъемлющего списка зон на различных уровнях, контролируемых регистратурами доменов.

Заключительная презентация дня была посвящена исследованию сбоев, связанных с DNSSEC, и Джон Кристофф (ICANN Research Fellow) представил статистику сбоев DNSSEC, собранную на IANIX и других ресурсах, а также классификацию таких сбоев, методики обнаружения и попытки оценить влияние этих сбоев. Он предположил, что для снижения частоты и влияния сбоев DNSSEC следует направить больше усилий на разработку практических инструментов, вспомогательных служб DNSSEC и подробных инструкций для операторов, и подчеркнул важность всестороннего обмена информацией между заинтересованными сторонами о прошлых сбоях, чтобы предотвратить подобные ошибки в будущем.

Предыдущая новость Следующая новость