في 11 يوليو 2017 ، سيظهر KSK (مفتاح توقيع المفتاح) جديد في منطقة جذر DNS. سيحل هذا المفتاح المسمى KSK-2017 (علامة المفتاح: 20326) في نهاية المطاف محل KSK-2010 الذي كان أكبر زوج من مفاتيح التشفير المستخدمة في بروتوكول DNSSEC منذ توقيع منطقة الجذر في يوليو 2010. إنها المرة الأولى في التاريخ أن ICANN تقوم بتغيير KSK لمنطقة الجذر كجزء من أفضل ممارسات الأمان العادية.
ما هو KSK لمنطقة الجذر؟
تُعرف منطقة الجذر KSK بأنها مرتكز الثقة للبنية التحتية لـ DNSSEC ، مما يعني أنها نفسها غير موقعة بمفتاح آخر ، كما هو الحال بالنسبة للمفاتيح التي يتم إيقافها في التسلسل الهرمي لـ DNS. ولهذا السبب ، يجب تكوين المفتاح الجذر كمرساة الثقة في جميع أدوات التحقق من DNSSEC مثل خوادم أسماء DNS المتكررة ومحللي DNS ، والتي يتم تشغيلها بواسطة مزودي خدمة الإنترنت (ISPs) ومشغلي الشبكات الآخرين. سيؤدي الفشل في التحديث إلى KSK لمنطقة الجذر الجديدة إلى حدوث خطأ في التحقق من DNSSEC ولن يتم حل استعلامات DNS.
منطقة الجذر الجديدة KSK مع keytag 20326
كيف تعمل؟
DNSSEC هو بروتوكول أمان تم تصميمه لإضافة خدمات المصادقة وتكامل البيانات إلى DNS. يمكن الآن توقيع معلومات المنطقة بالتشفير ويمكن لعملاء DNS التحقق من صحة التوقيعات من خلال استرداد المفتاح العام للمنطقة ، والذي يتم تخزينه أيضًا في ملف المنطقة. ومع ذلك ، حتى نتمكن من الوثوق بالمفاتيح العامة ، نحتاج إلى "سلسلة من الثقة". على عكس طراز X.509 ، ليس لدى DNSSEC مرجع مصدق (CA) يمكنه ضمان صحة المفاتيح العامة. بدلاً من ذلك ، تبني DNSSEC "سلسلة من الثقة" تبدأ بـ "مرتكز الثقة" ، وهو مفتاح تم الإعلان عنه على أنه المفتاح الموثوق والجدير بالثقة.
للتحقق من صحة التوقيع ، يحتاج المدقق إلى البدء بـ "مرساة الثقة" ومن ثم سيقوم بالتحقق من صحة شجرة DNSSEC بأكملها حتى تصل إلى ملف المنطقة الخاص بالسجل ، والذي يحتوي على معلومات المفتاح العام. باستخدام المفتاح العام ، يمكن للمدقق التحقق من صحة توقيع DNSSEC RRset. من الواضح أن عملية التحقق في الواقع أكثر تعقيدًا لأنها تشمل كلاً من KSK و ZSK.
كمثال بسيط ، لنفترض أن متصفحك يريد الوصول إلى www.example.org ، سيقوم مدقق DNSSEC بتنفيذ ما يلي:
- جلب "مرساة الثقة" ، أي تثبيت منطقة الجذر KSK محليًا
- قم بإحضار مجموعة .org DNSKEY RRset في منطقة الجذر وتحقق من صحة التوقيع باستخدام KSK لمنطقة الجذر
- احصل على المفتاح العام من منطقة .org
- احصل على .example.org DNSKEY RRset وتحقق من صحة التوقيع باستخدام المفتاح العام .org
- احصل على المفتاح العام من منطقة .example.org
- احصل على www.example.org DNSKEY RRset وتحقق من صحة التوقيع باستخدام المفتاح العمومي .example.org
لذلك ، يلزم أن يتم تكوين KSK لمنطقة الجذر كمثبت ثقة لأي جهاز يقوم بالتحقق من DNSSEC.
ماذا سيحدث في 11 أكتوبر 2017؟
اعتبارًا من 11 أكتوبر 2017 ، ستبدأ KSK لمنطقة الجذر الجديدة توقيع DNSKEY RRset ، لكن KSK لمنطقة الجذر القديمة ستظل موجودة في منطقة الجذر حتى 11 يناير 2018. وهذا لمواصلة السماح بالتحقق من التوقيعات باستخدام KSK القديم.
كيفية الحصول على مرساة الثقة الجديدة؟
يجب على أي منظمة تعمل على مدقق DNSSEC التأكد من أن نظامها لديه أحدث نقطة ثقة. هناك طريقتان لتحديث رابط الثقة في مدقق DNSSEC:
- يدويًا: تحتاج إلى الحصول على نسخة من نقطة الثقة من مصدر رسمي والتأكد من أنها أصلية قبل تحديث التكوينات يدويًا. من المستحسن استخدام ملف مرساة الثقة لمنطقة الجذر التي تقدمها منظمة أيانا (IANA). يجب عليك أيضا التحقق من صحة توقيع منفصل مقدمة من IANA ، وموقعة من آيكان كاليفورنيا، للتأكد من صلاحية رابط الثقة.
- تلقائيًا: إذا تم تكوين محلل مدرك لـ DNSSEC أو خادم اسم متكرر للاستخدام RFC5011، يجب أن يتلقى تحديثات تلقائية لمرتكزات DNSSEC Trust ولا يلزم اتخاذ أي إجراء آخر. ومع ذلك ، إذا كان مدققو DNSSEC في وضع عدم الاتصال أثناء عملية التمرير ، فيجب تحديثهم يدويًا إذا تم نقلهم عبر الإنترنت بعد اكتمال التمرير.
Timeline
11 يوليو 2017 | تم نشر KSK جديد في DNS |
١٩ أكتوبر ٢٠٢٣ | يبدأ KSK الجديد في توقيع مجموعة مفاتيح منطقة الجذر (حدث التمرير الفعلي) |
11 يناير 2018 | إلغاء KSK القديمة |
22 مارس 2018 | في اليوم الأخير ظهر KSK القديم في منطقة الجذر |
أغسطس ٢٠١٥ | يتم حذف المفتاح القديم من المعدات في كل من مرافق إدارة مفاتيح ICANN |
بعض المراجع:
مادة ICANN:
عرض AFRINIC-25:
اختبار:
اختبار تحديث مرساة الثقة الآلي
الاستعلامات
لأية استفسارات تتعلق بتمرير DNSSEC Root Zone KSK ، اتصل بنا على محمي عنوان البريد الإلكتروني هذا من المتطفلين و برامج التطفل. تحتاج إلى تفعيل جافا سكريبت لتتمكن من مشاهدته.