NHÀ QUẢN TRỊ HỆ THỐNG (SYSADMIN) CẦN CẬP NHẬT PHẦN MỀM NẾU KHÔNG MUỐN MẤT MẠNG

NHÀ QUẢN TRỊ HỆ THỐNG (SYSADMIN) CẦN CẬP NHẬT PHẦN MỀM NẾU KHÔNG MUỐN MẤT MẠNG

 Tiếp nối quy trình bắt đầu từ tháng 5/2016, key mã hóa nhằm bảo đảm an toàn cho các domain hệ thống sẽ lần đầu tiên được cập nhật.

Sau thử nghiệm vào tháng 5/2016, vào tháng 2 vừa qua, bản ghi khóa mới (Key Signing Key - KSK) đã được tạo để mọi người thêm vào phần mềm của mình. Key mới sau đó được đưa ra trên DNS vào tháng trước và sẽ được dùng để đăng nhập vào vùng gốc (root zone) lần đầu tiên vào 11/10/2017 theo giờ 1600 UTC. Khi đó, những ai không sử dụng key này sẽ bị cắt khỏi mạng Internet.

Thay đổi này là kết quả của việc cập nhật bản ghi khóa vùng (Zone SInging Key - ZSK) sang key RSA 2048-bit dài hơn, nhằm mang lại sự bảo mật cao hơn. Giờ nó sẽ có cùng độ dài với KSK và cả 2 sẽ được tạo lại để tạo ra key công cộng mã hóa cặp nhằm đảm bảo cho hệ thống Internet.

KSK được dùng để đăng nhập vào ZSK, sau đó được dùng bởi RZM (Root Zone Maintainer) cho vùng gốc trong DNSSEC của DNS.

Chỉ những công ty hạ tầng Internet và nhà quản trị mạng mới cần quan tâm tới thay đổi này, còn người dùng Internet thì không cần.

Việc thay đổi cũng không khó khăn, miễn là bạn dùng phần mềm cập nhật và đã bật DNSSEC thì key sẽ tự động cập nhật. Thử nghiệm vào tháng 5/2016 đã được chạy thử để đảm bảo sẽ không có ảnh hưởng không mong muốn và nhờ vào việc đưa ra dần dần từ đợt đó, các kĩ sư Internet có thể tự tin rằng mọi thứ sẽ diễn ra suôn sẻ. Dù vậy, khi nói tới mạng phi tập trung toàn cầu thì vẫn chưa biết chắc được điều gì.

 

Vậy nên cảnh báo này là rất cần thiết cho các sysadmin

Sẽ thế nào nếu ai đó sử dụng phần mềm cũ hay muốn thay đổi KSK thủ công và thất bại? Trong trường hợp đó, DNS Resolver sẽ ngừng hoạt động nên bất kì ai ở cuối kết nối sẽ không thể truy cập được website mà họ muốn. Họ tất nhiên có thể tự tìm cách nhưng sẽ mất rất nhiều công sức.

Đại diện VNNIC một lần nữa nhấn mạnh, việc thay đổi khóa DNSSEC KSK của DNS ROOT sẽ làm thay đổi điểm kết nối tin cậy (trust anchor) trên hệ thống DNSSEC. Điều này sẽ ảnh hưởng trực tiếp đến các hệ thống máy chủ tên miền cấp cao (TLD, ccTLD), các hệ thống DNS của ISP, Nhà đăng ký tên miền “.VN”, doanh nghiệp, tổ chức CNTT có quản lý và duy trì các hệ thống tên miền đệm (DNS Cache) đã hỗ trợ tính năng xác thực DNSSEC (DNSSEC Validating).

VNNIC cũng cho biết thêm, để chuẩn bị cho việc chuyển đổi khoá được thực hiện thành công, đồng bộ với các đơn vị, ICANN đã xây dựng hệ thống thử nghiệm và các hướng dẫn kỹ thuật tại địa chỉ https://go.icann.org/KSKtest, các tổ chức có DNS có thể kết nối đến hệ thống để tiến hành thử nghiệm.

Các công ty hạ tầng Internet cũng nhận thức được vấn đề và lên kế hoạch chuyển đổi trong nhiều tháng. Nhưng với người quản trị hệ thống, vận hành Resolver, phát triển phần mềm DNS hay những người cài Trust Anchor trên Root như một phần của phần mềm hay phần cứng và đang lo lắng về việc chuyển đổi này, ICANN có một trang kiểm tra KSK https://automated-ksk-test.research.icann.org/ và một trang thông tin để bạn đọc. https://www.icann.org/resources/pages/ksk-rollover

 

Theo viettelidc.com