В сентябре 2017 года интернет перейдет на новый ключ DNS

В 2017 году планируется перевести DNS-систему на использование нового ключа для подписания ключей (KSK) расширений безопасности системы доменных имен (DNSSEC) в корневой зоне

Им управляют компании ICANN и VeriSign, сам ключ хранится на территории США. В процессе распространения нового ключа возможны сбои в работе Сети, связанные с увеличением размера ответов на DNS-запросы на некоторых его этапах.

В 2016 году началась реализация важного проекта по замене созданного в 2010 году ключа для подписания ключей (KSK), который используется для криптографического подписания ключа подписания зоны (ZSK). ZSK в свою очередь необходим для подписания корневой зоны DNS интернета с помощью DNSSEC. Расширения безопасности протокола DNS – DNSSEC – опираются на технологию цифровых подписей для обеспечения подлинности и целостности подписываемых данных. Замена KSK в корневой зоне как отправной точки цепи доверия ключей есть важный элемент обеспечения возможности проверять достоверность ответов системы DNS, подписанных с помощью DNSSEC.

План замены KSK, опубликованный в июле 2016 года, разбит на несколько этапов. Об этом на конференции UADOM 2016 в Киеве сообщила менеджер по взаимодействию с заинтересованными сторонами в Восточной Европе и Центральной Азии корпорации ICANN Александра Куликова.

DNSSEC, или Domain Name System Security Extensions, — набор расширений, позволяющий ключам шифрования определять надежность источника DNS-данных.

Сам новый ключ KSK2017 был сгенерирован 27 октября 2016 года, 11 июля 2017 года планируется ввести его в корневую зону, при использовании еще старого ключа KSK2010. Чуть позже, с 11 октября 2017 года, данные DNS будут подписываться только новым ключом. Для ресурсов интернета, подписанных DNSSEC, этот этап и несколько других в ходе осуществления замены KSK, когда будет увеличиваться объем ответов на DNS-запросы, особенно важны. Ведь если что-то пойдет не так, пользователи по всему миру не смогут получить доступ к сетевым ресурсам. «Если смена ключа пройдет неправильно или оператор сети неправильно настроит якорь доверия, то для конечного пользователя могут оказаться доступными онлайн-ресурсы, то есть покажется, что просто “интернет не работает”, – сказала Куликова.

При этом представитель ICANN считает, что вероятность ошибки при реализации проекта достаточно мала. «Мы ведем большую работу с разработчиками и дистрибьюторами ПО, работаем над инструментами тестирования», – сказала она.

Завершение процесса замены ключа KSK, когда старый ключ KSK2010 будет выведен из корневой зоны , запланировано на, 11 января 2018 года. Таким образом, проект займет примерно полтора года, и, по словам Куликовой, при необходимости, его реализация будет скорректирована по срокам.

Проект осуществляется партнерами по обслуживанию корневой зоны – ICANN, которая является оператором функций Администрации адресного пространства интернета (IANA) и Verisign, которая является техническим менеджером по обслуживанию корневой зоны. При этом сам новый KSK2017, как и его предшественник KSK2010,будет храниться в двух защищенных дата-центрах США.

Говоря о разработке плана по замене ключа KSK, Куликова подчеркнула, что план был и остается публичным, доступным для критики и корректировок. Учитывая важность процедуры замены для всего мира, авторы предусмотрели даже возможность приостановки процесса, если по мере реализации выявятся технические трудности.

В целом, специалисты серьезных проблем для успешной замены KSK не видят. Но призывают операторов сетей, разработчиков ПО и любые стороны, работу которых этот проект может затронуть, вместе с ICANN и Verisign проследить за прохождением ключевых этапов замены, чтобы иметь возможность оперативно отреагировать на любые возникающие сложности.