Đổi khoá DNSSEC, đảm bảo an toàn cho máy chủ tên miền gốc
Việc này sẽ tác động trực tiếp đến các tổ chức quản lý tên miền cấp cao (TLD, ccTLD), các nhà cung cấp dịch vụ Internet (ISP), nhà đăng ký tên miền, các tổ chức, doanh nghiệp CNTT đang quản lý và duy trì các hệ thống DNS Cache có hỗ trợ DNSSEC.
Hệ thống máy chủ tên miền (DNS) là hạ tầng trọng yếu của mạng Internet. Để tăng cường đảm bảo an toàn cho hệ thống máy chủ tên miền, ICANN đã hoàn thành triển khai áp dụng tiêu chuẩn DNSSEC (Domain Name System Security Extension) cho hệ thống máy chủ tên miền DNS gốc (DNS ROOT) từ năm 2010. Đây là tiêu chuẩn an toàn mở rộng cho hệ thống DNS, cung cấp cơ chế xác thực nguồn gốc, đảm bảo toàn vẹn dữ liệu tên miền trên máy chủ DNS cũng như các truy vấn tên miền để truy cập các dịch vụ trực tuyến trên Internet được an toàn, tránh các tấn công nhằm thay đổi dữ liệu, lừa đảo người dùng. Hiện nay trên thế giới đã có tới hơn 90% tên miền cấp cao (TLD) triển khai DNSSEC.
Tại Việt Nam, đề án triển khai tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền (DNS) .VN đã được Bộ trưởng Bộ TT&TT phê duyệt thực hiện theo quyết định số 1524/QĐ-BTTTT ngày 23/10/2014. Ngày 20/12/2016, Trung tâm Internet Việt Nam (VNNIC) đã chính thức triển khai DNSSEC trên hệ thống máy chủ DNS quốc gia .VN, kết nối liên thông DNSSEC với hệ thống máy chủ DNS ROOT; đảm bảo hạ tầng Internet an toàn ổn định, sẵn sàng cho việc phát triển các dịch vụ thương mại điện tử, chính phủ điện tử tại Việt Nam.
Để đảm bảo an toàn cho hệ thống DNS chạy DNSSEC, theo kế hoạch định kỳ ICANN sẽ tiến hành thay đổi khóa DNSSEC KSK (KSK Rollover) trên hệ thống DNS ROOT. Lộ trình cụ thể như sau:
Ngày 11/07/2017: Khóa KSK mới (gọi là KSK-2017) chính thức được công bố trên ROOT zone. Sau thời điểm này sẽ tồn tại 02 khóa KSK (cũ: KSK-2010, mới: KSK-2017) trên hệ thống.
Ngày 11/10/2017: Khóa KSK-2017 sẽ thay thế khóa KSK -2010 trên hệ thống DNS ROOT, chính thức sử dụng để ký số DNSSEC.
Ngày 11/01/2018: Khóa KSK-2010 sẽ bị thu hồi.
Ngày 22/03/2018: Khóa KSK-2010 sẽ bị xóa khỏi Root zone.
Tháng 8/2018: Khóa KSK-2010 sẽ chính thức bị xóa khỏi các hệ thống quản lý khóa của ICANN.
Việc thay đổi khóa DNSSEC KSK của DNS ROOT sẽ làm thay đổi điểm kết nối tin cậy (trust anchor) trên hệ thống DNSSEC. Điều này sẽ ảnh hưởng trực tiếp đến các hệ thống máy chủ tên miền cấp cao (TLD, ccTLD), các hệ thống DNS của ISP, Nhà đăng ký tên miền “.VN”, doanh nghiệp, tổ chức CNTT có quản lý và duy trì các hệ thống tên miền đệm (DNS Cache) đã hỗ trợ tính năng xác thực DNSSEC (DNSSEC Validating).
Để chuẩn bị cho việc chuyển đổi khoá được thực hiện thành công, đồng bộ với các đơn vị ICANN đã xây dựng hệ thống thử nghiệm và các hướng dẫn kỹ thuật tại địa chỉ: //go.icann.org/KSKtest, các tổ chức có DNS có thể kết nối đến hệ thống để tiến hành thử nghiệm.