CZ.NIC mění algoritmus klíčů a přechází na NSEC3

Kryptograficky bezpečnější algoritmus RSASHA512 a skutečnost, že bude vůbec poprvé změněn algoritmus klíčů, jsou spojeny s přechodem na novou verzi bezpečnostní technologie DNSSEC – NSEC3.


S implementací NSEC3 začal tento týden správce české národní domény .CZ, sdružení CZ.NIC. Celá akce, v jejímž závěru bude poslána žádost organizaci IANA týkající se výměny klíče v kořenové zóně, potrvá celý den a skončí okolo sedmé hodiny večerní. Během této události, která se technicky uzavře do konce srpna, budou také staženy všechny staré klíče z míst, kde byly používány dosud (ITAR, DLV, internetové stránky). Sdružení CZ.NIC zavedlo DNSSEC na podzim roku 2008. K nasazení NSEC3 dochází podle plánů ve chvíli, kdy je již podepsána kořenová zóna (od 15. července 2010).

„Přechod na NSEC3 a změny s tím související ovlivní především provozovatele rekurzivních DNS serverů, kteří provádějí validaci pomocí DNSSEC. Právě ti, pokud to již neudělali, by měli co nejdříve přejít na validaci DNSSEC přes klíč kořenové zóny, bližší informace k tomuto bodu najdou na internetové adrese www.dnssec.cz, a upgradovat na nejnovější verzi DNS serveru,“ upozorňuje Jaromír Talíř, technický ředitel sdružení CZ.NIC, který dohlíží nad zavedením NSEC3.

Celý proces rotace klíčů a přechod na NSEC3 se skládá ze tří částí. První z nich se uskutečnila už včera a týkala se příprav na dnešní přechod. Během této fáze byly mimo jiné vygenerovány nové klíče. V druhém kroku dojde na vlastní změnu podepisování. Na konci srpna se potom očekává završení celého procesu, tedy vložení nového klíče do kořenové zóny.











Komentáře