- ภาพรวม
- การสืบค้น DNS ดำเนินไปตามลำดับ ไคลเอนต์ → recursive resolver (RR) → รูทเซิร์ฟเวอร์ → เซิร์ฟเวอร์ TLD → DNS ที่มีอำนาจกำกับดูแล
- ในขั้นตอนนี้ ความน่าเชื่อถือของเลเยอร์รูทและ TLD ถูกคงไว้ด้วยลายเซ็นที่อิงกับคีย์
- เอกสารนี้จะพาไปดูอย่างละเอียดว่ามีการต่ออายุผ่านขั้นตอนใดบ้างในพิธีลงนามรูท
- เนื้อหา
- Root DNSSEC ใช้คีย์อยู่ 2 แบบ
- KSK (Key Signing Key): คีย์ลงนามระดับบนสุดที่ใช้ลงนามชุด DNSKEY ทั้งหมด
- ZSK (Zone Signing Key): คีย์ที่ใช้ลงนามเรคอร์ดของแต่ละโซน (zone)
- เดิมที KSK มีการ rollover ทุก ๆ 7 ปี แต่ตอนนี้ระบุว่าจะทำทุก ๆ 3 ปีแทน
- ส่วน ZSK มีการต่ออายุทุก ๆ 3 เดือน
- เพื่อการนี้ พิธีลงนามรูทที่ ICANN เป็นผู้ดูแลจะดำเนินการโดยเจ้าหน้าที่ความปลอดภัยหลายคนและการยืนยันตัวตนหลายชั้นบนพื้นฐาน HSM และเปิดเผยความคืบหน้าผ่าน YouTube Live
- เอกสารที่ใช้ในพิธีลงนาม การตรวจสอบ checksum และบันทึกล็อกสาธารณะ รวมถึงวิดีโอบันทึก จะถูกเผยแพร่ภายนอกในภายหลัง
- บทสรุป
- ด้วยกระบวนการที่โปร่งใสเช่นนี้ รูท DNS ซึ่งเป็นแกนหลักของความเชื่อถือระดับสูงสุดของอินเทอร์เน็ต จึงถูกคงไว้ด้วยความสมบูรณ์ถูกต้องทางคริปโตกราฟีและระบบความเชื่อถือ
1 ความคิดเห็น
ผมหาคลิปนี้จากความทรงจำลางๆ มานานมาก แต่เพราะไม่รู้แนวคิดนี้เลยหาไม่เจอ จนในที่สุดก็ได้เห็นแล้ว ขอบคุณครับ!