Nhà quản trị hệ thống (sysadmin) cần cập nhật phần mềm nếu không muốn mất mạng

Nhà cung cấp Internet và quản trị hệ thống (sysadmin) cần đảm bảo họ chạy các phần mềm cập nhật hoặc nếu không sẽ phải khiến khách hàng của mình gặp rủi ro mất mạng vào tháng 10, tổ chức quản lý DNS ICANN cảnh báo.

Tiếp nối quy trình bắt đầu từ tháng 5/2016, key mã hóa nhằm bảo đảm an toàn cho các domain hệ thống sẽ lần đầu tiên được cập nhật.

Sau thử nghiệm vào tháng 5/2016, vào tháng 2 vừa qua, bản ghi khóa mới (Key Signing Key - KSK) đã được tạo để mọi người thêm vào phần mềm của mình. Key mới sau đó được đưa ra trên DNS vào tháng trước và sẽ được dùng để đăng nhập vào vùng gốc (root zone) lần đầu tiên vào 11/10/2017 theo giờ 1600 UTC. Khi đó, những ai không sử dụng key này sẽ bị cắt khỏi mạng Internet.

Thay đổi này là kết quả của việc cập nhật bản ghi khóa vùng (Zone SInging Key - ZSK) sang key RSA 2048-bit dài hơn, nhằm mang lại sự bảo mật cao hơn. Giờ nó sẽ có cùng độ dài với KSK và cả 2 sẽ được tạo lại để tạo ra cặp khóa mã hóa công khai và bí mật nhằm đảm bảo cho hệ thống Internet.

KSK được dùng để đăng nhập vào ZSK, sau đó được dùng bởi RZM (Root Zone Maintainer) cho vùng gốc trong DNSSEC của DNS.

Chỉ những công ty hạ tầng Internet và nhà quản trị mạng mới cần quan tâm tới thay đổi này, còn người dùng Internet thì không cần.

Việc thay đổi cũng không khó khăn, miễn là bạn dùng phần mềm cập nhật và đã bật DNSSEC thì key sẽ tự động cập nhật. Thử nghiệm vào tháng 5/2016 đã được chạy thử để đảm bảo sẽ không có ảnh hưởng không mong muốn và nhờ vào việc đưa ra dần dần từ đợt đó, các kĩ sư Internet có thể tự tin rằng mọi thứ sẽ diễn ra suôn sẻ. Dù vậy, khi nói tới mạng phi tập trung toàn cầu thì vẫn chưa biết chắc được điều gì.

Vậy nên cảnh báo này là rất cần thiết cho các sysadmin
Vậy nên cảnh báo này là rất cần thiết cho các sysadmin

Sẽ thế nào nếu ai đó sử dụng phần mềm cũ hay muốn thay đổi KSK thủ công và thất bại? Trong trường hợp đó, DNS Resolver sẽ ngừng hoạt động nên bất kì ai ở cuối kết nối sẽ không thể truy cập được website mà họ muốn. Họ tất nhiên có thể tự tìm cách nhưng sẽ mất rất nhiều công sức.

Các công ty hạ tầng Internet cũng nhận thức được vấn đề và lên kế hoạch chuyển đổi trong nhiều tháng. Nhưng với người quản trị hệ thống, vận hành Resolver, phát triển phần mềm DNS hay những người cài Trust Anchor trên Root như một phần của phần mềm hay phần cứng và đang lo lắng về việc chuyển đổi này, ICANN có một trang kiểm tra KSK https://automated-ksk-test.research.icann.org/ và một trang thông tin để bạn đọc. https://www.icann.org/resources/pages/ksk-rollover

Thứ Hai, 04/09/2017 14:59
31 👨 509
0 Bình luận
Sắp xếp theo