Смена ключа подписания ключей DNSSEC пройдет в установленный срок

20.09.2018

Правление корпорации ICANN на своем совещании в Брюсселе приняло решение провести процедуру смены ключа подписания ключей DNSSEC корневой зоны DNS 11 октября, как и было запланировано ранее. Информация об этом опубликована на официальном сайте ICANN. Протокол DNSSEC подразумевает использование для каждой зоны двух криптографических ключей: ключа подписания зоны (ZSK) и ключа подписания ключей (KSK). И если ключ подписания корневой зоны обновляется ежеквартально, то ключ KSK не изменялся ни разу с момента его создания в 2010 году.

Сменить ключ подписания ключей планировалось еще год назад, но процедура была перенесена из-за опасений, что неверные настройки DNS-резолверов повлекут за собой отключение от глобальной сети значительного числа пользователей. За год развеять эти опасения не удалось: как сообщалось ранее, члены Консультативного комитета по вопросам безопасности и стабильности ICANN (SSAC) не смогли достичь консенсуса в вопросе о смене ключа KSK. Пять членов высказались за новый перенос сроков процедуры, тогда как 17 человек сочли нужным провести смену 11 октября. В результате правление ICANN приняло сторону большинства.

«Результаты исследований показывают, что валидация DNSSEC включена у тысяч сетевых операторов, обслуживающих приблизительно четверть всех интернет-пользователей, – подчеркнул технический директор ICANN Давид Конрад. – И наверняка в мире найдется как минимум несколько операторов, не готовых к смене ключа. Но даже при этом худшем сценарии им надо будет всего лишь исправить проблему, а именно отключить валидацию DNSSEC, установить новый ключ и заново включить валидацию DNSSEC, после чего у их пользователей полностью восстановится возможность связи с DNS». В этой связи можно вспомнить, что исследования, на которые опирается ICANN, показывают, что смена ключа KSK способна повлечь за собой временное отключение от сети примерно 0,05% всех пользователей интернета – что составляет около 2 миллионов человек.