ICANN предстоит принять непростое решение

23.08.2018

Намеченная на 11 октября процедура смены ключа подписания ключей DNSSEC корневой зоны DNS может быть перенесена на более поздний срок. Ключ подписания ключей (KSK) является вершиной иерархической пирамиды DNSSEC глобальной сети. Протокол DNSSEC подразумевает использование для каждой зоны двух криптографических ключей: ключа подписания зоны (ZSK) и ключа подписания ключей. Ключ ZSK корневой зоны обновляется корпорацией ICANN и компанией Verisign ежеквартально, тогда как ключ KSK не обновлялся ни разу с момента его создания в 2010 году.

Первоначально процедура смены ключа KSK была назначена на 11 октября 2017. Но корпорация ICANN перенесла срок на год, опасаясь, что смена ключа лишит доступа в сеть значительное число пользователей из-за проблем с настройками DNSSEC. К сожалению, за прошедшее время ясности в этом вопросе не прибавилось. Сегодня известно о примерно 8 тысячах DNS-резолверов, ошибки в конфигурации которых повлекут за собой отключение от сети после смены ключа KSK. Но эта цифра мало о чем говорит. Во-первых, никто не берется оценить количество конечных пользователей, обслуживаемых этими резолверами. Во-вторых, 8 тысяч – это число DNS-резолверов, которые автоматически передают данные о своем статусе, используя стандарт, введенный в действие сравнительно недавно. Легко понять, что число резолверов, которые не передают такую информацию, может оказаться абсолютно любым. Наконец, в-третьих, даже связаться со всеми операторами этих 8 тысяч DNS-резолверов ICANN тоже не в состоянии: контактные данные многих из них успели многократно измениться.

На сегодня в корпорации ICANN полагают, что смена ключа KSK повлечет за собой временное отключение от сети 0,05% всех пользователей интернета. Это составляет примерно 2 миллиона человек, и в ICANN считают такой риск приемлемым. Дело в том, что появляется все большее число устройств, использующих DNSSEC, а потому каждый день промедления влечет за собой и рост числа тех, кто пострадает от смены ключа KSK. Несколько дней назад технический директор и вице-президент ICANN Дэвид Конрад заявил, что не видит причин вновь откладывать процедуру смены ключа. Но с ним согласны не все. Ресурс Domain Incite сообщил о заседании Консультативного комитета по вопросам безопасности и стабильности ICANN (SSAC). Его участники едва ли не впервые не смогли прийти к консенсусу. 17 членов SSAC поддержали идею смены ключа KSK 11 октября. Однако пять человек высказались против, отразив свое мнение в протоколе заседания. Они полагают, что проведение процедуры в установленные ранее сроки сопряжено с большими рисками и может причинить больший ущерб, чем очередной перенос даты. Окончательное решение по этому вопросу предстоит теперь принять совету директоров ICANN. Ожидается, что это будет сделано на встрече в Брюсселе, которая откроется 14 сентября.