В Вашингтоне проходит ICANN 77 Policy Forum

На ICANN 77 Policy Forum 12 июня прошел традиционный  ICANN TechDay – технический семинар, где обсуждаются новые технологии для доменной индустрии, делятся опытом их внедрения, демонстрируют результаты новых исследований. Модератором семинара стал Эберхард Лиссе (Eberhard Lisse) – глава технической рабочей группы ccNSO и управляющий директор Namibian Network Information Centre, регистратуры домена верхнего уровня Намибии .NA.

Представитель SIDN Labs Джоване Мура (Giovane C. M. Moura) в своем докладе рассказал об исследовании параметров делегирования доменных имен государственных ресурсов Нидерландов, Швеции, Швейцарии и США. Исследование продемонстрировало значительные отклонения от рекомендуемых лучших практик делегирования доменных имен. К примеру, около половины доменных имен государственных сайтов делегированы на NS-сервера одного DNS-провайдера, в то время как рекомендуется использование минимум двух разных. Более того, были выявлены случаи, когда доменные имена государственных  ресурсов имели вообще всего одну NS-запись.

Ален Дюран (Alain Durand), представитель ICANN,  рассказал об исследовании внедрения DNSSEC на втором уровне в различных доменах верхнего уровня. Об опыте внедрения в зоне EDU.ZA технологии сканирования CDS ресурсных записей в дочерних зонах рассказал представитель регистратуры Марк Элкнис (Mark Elkins).

Энди Ньютон (Andy Newton), главный инженер технической службы GDS ICANN, представил нового RDAP-клиента для командной строки. Целью создания такого RDAP-клиента было сделать максимально адаптируемый в различные программные решения инструмент, вызываемый в командной строке. Этот инструмент предназначен в первую очередь для технических специалистов, взаимодействующих с Registration Data Directory Service (RDDS) при помощи протокола RDAP.

О новостях разработки программного решения системы регистрации CoCCA Registry Services шла речь в докладе главы компании Гарта Миллера (Garth Miller. В частности, помимо различных интерфейсных улучшений и оптимизаций работы веб-портала, в их решение был интегрирован RDAP-модуль, а также встроены средства мониторинга DNS-abuse, поддерживаемые IQ global и IWF.

На технический семинар был приглашен «белый хакер» Рон Сегер (Ron Seger), который в своем докладе рассмотрел пример вредоносного кода на PHP и затронул тему генерации вредоносного кода системами искусственного интеллекта, приведя в качестве примера ChatGPT.

В завершении удаленно выступил Метс Дуфберг (Mats Dufberg), представитель Swedish Internet Foundation, с новостями об обновлении проекта Zonemaster – средстве поиска и проверки параметров "здоровья" DNS заданной зоны, например, содержимого ответов NS-серверов, параметров DNSSEC, корректности ресурсных записей и т.д. Последний релиз Zonemaster состоялся 19 декабря 2022 года, а новый релиз увидит свет в ближайшую неделю и включит в себя различные улучшения методики оценки параметров зоны.

В этот же день состоялся семинар, посвященный вопросам безопасности и внедрения протокола DNSSEC. В первой части семинара, модератором которой стал Стив Крокер (Steve Crocker) обсуждалось решение двух проблем в спецификации DNSSEC протокола: автоматизации обновления DS-записей (DS Automation update) и процедуры «мульти-подписания» (Multi-Signer) ключей. Стив Крокер рассказал об уже проделанной работе, о проектах и разработках в области автоматизации обновления DS-записей, а также упомянул о недавнем инциденте в национальном домене Новой Зеландии .NZ, когда ресурсы в этой зоне стали недоступны из-за ошибки в ходе замены ключей. Далее участники семинара рассказали о готовящемся в SSAC отчете о DNSSEC автоматизации и о препятствиях на пути  внедрения автоматизации DNSSEC, а также о возможных новых сферах применения этой технологии.

Мэтью Ширс (Matthew Shears), глава комитета по стратегическому планированию ICANN, сообщил, что несмотря на то, что вопрос автоматизации DNSSEC не включен в текущий стратегический план, рассматривается вопрос о включении этой темы в следующий стратегический план на 2026-2030 годы.

Вторая часть семинара была посвящена вопросам автоматизированного управления DS-записями. Участники привели статистику внедрения DNSSEC и внедрения автоматизации обновления DS записей в национальных доменах верхнего уровня.

Онджей Филип (Ondrej Filip) рассказал о внедрении автоматизации обновления DS записей в системе CZ.NIC, в частности, он отметил, что грядущая версия FRED, системы регистрации с открытым исходным кодом, над которой активно работают представители CZ.NIC, будет содержать новую подсистему «cdnskey-processor» осуществляющую поддержку технологии автоматизации обновления DS записей.

Далее участники представили целый набор методов обновления DS-записей и рассказали о трудностях, связанных с ресурсозатратностью при больших объемах ресурсных записей для сканирования в дочерних зонах в ходе автоматизации обновления DS-записей родительских зон. Как считает Стив Крокер, применение механизма DNS NOTIFY позволит снизить затраты ресурсов на такое сканирование.

В заключение Стив Крокер предложил аудитории подумать над тем, какие именно технические средства нужны для внедрения автоматизации обновления DS-записей: новые протоколы, модификация/расширение существующих протоколов, возможность валидации  автоматических обновлений DS-записей или что-то еще.

ICANN 77 Policy Forum  продолжается, следите за нашими публикациями!