ICANN предстоит принять непростое решение

Намеченная на 11 октября процедура смены ключа подписания ключей DNSSEC корневой зоны DNS может быть перенесена на более поздний срок. Ключ подписания ключей (KSK) является вершиной иерархической пирамиды DNSSEC глобальной сети. Протокол DNSSEC подразумевает использование для каждой зоны двух криптографических ключей: ключа подписания зоны (ZSK) и ключа подписания ключей. Ключ ZSK корневой зоны обновляется корпорацией ICANN и компанией Verisign ежеквартально, тогда как ключ KSK не обновлялся ни разу с момента его создания в 2010 году.

Первоначально процедура смены ключа KSK была назначена на 11 октября 2017. Но корпорация ICANN перенесла срок на год, опасаясь, что смена ключа лишит доступа в сеть значительное число пользователей из-за проблем с настройками DNSSEC. К сожалению, за прошедшее время ясности в этом вопросе не прибавилось. Сегодня известно о примерно 8 тысячах DNS-резолверов, ошибки в конфигурации которых повлекут за собой отключение от сети после смены ключа KSK. Но эта цифра мало о чем говорит. Во-первых, никто не берется оценить количество конечных пользователей, обслуживаемых этими резолверами. Во-вторых, 8 тысяч – это число DNS-резолверов, которые автоматически передают данные о своем статусе, используя стандарт, введенный в действие сравнительно недавно. Легко понять, что число резолверов, которые не передают такую информацию, может оказаться абсолютно любым. Наконец, в-третьих, даже связаться со всеми операторами этих 8 тысяч DNS-резолверов ICANN тоже не в состоянии: контактные данные многих из них успели многократно измениться.

На сегодня в корпорации ICANN полагают, что смена ключа KSK повлечет за собой временное отключение от сети 0,05% всех пользователей интернета. Это составляет примерно 2 миллиона человек, и в ICANN считают такой риск приемлемым.

Читать статью полностью >>>

Источник: Координационный центр национального домена сети Интернет