ЯНГИЛИКЛАР

22.10.2018
Процедура смены ключа подписания ключей прошла без серьезных проблем

11 октября корпорация ICANN провела процедуру смены ключа подписания ключей (key signing key – KSK) корневой зоны DNS. Ключ KSK является центральным элементом криптографической защиты протокола DNSSEC, обеспечивающего аутентификацию источников данных при установке DNS-соединений. Предыдущий ключ KSK был создан еще в 2010 году, и корпорация ICANN на протяжении нескольких лет вела подготовку к его смене.

Изначально процедуру смены ключа подписания ключей планировалось провести в октябре прошлого года, но сроки были перенесены из-за опасений, что значительное число операторов DNS-серверов окажутся не готовы к этой процедуре. Это привело бы к временной недоступности многих интернет-ресурсов для значительного числа пользователей. По некоторым оценкам, их число могло достигнуть 450 миллионов – именно столько пользователей в мире выходят в интернет через провайдеров, которые используют валидирующие резолверы в своих сетях. Однако по оценкам экспертов какие-либо трудности с некоторой вероятностью могли ощутить только 0.04% от них.

На протяжении последнего года корпорация ICANN проделала большую работу по подготовке смены ключа KSK и уведомлению операторов о предстоящей процедуре. Тем не менее, опасения сохранялись до самого последнего момента. Пресса, разумеется, не могла пройти мимо такой информации, и заголовки последних недель пестрели фразами про массовые отключения, «глобальную информационную катастрофу» и «интернет-апокалипсис».

После смены ключа была выдержана пауза в 48 часов на оценку ущерба: двое суток – это стандартное время кэширования информации в резолвере, и по истечении этого срока можно в полном объеме оценить, есть ли изменения в работе системы DNS.

Тем приятнее констатировать, что ничего подобного не произошло. СМИ дружно забыли о своих страшных пророчествах, и это тот случай, когда отсутствие новостей – самая хорошая новость. Лишь немногие специализированные издания вспомнили о том, что смена ключа подписания ключей все-таки состоялась. Так, ресурс Network World вынес в заголовок информацию о том, что процедура прошла без сбоев. На официальном сайте ICANN создана специальная страница, где можно отслеживать ситуацию. Впрочем, информации здесь пока немного: последнее обновление датировано утром воскресенья и гласит, что по истечении 60 часов после смены ключа KSK зафиксировано лишь крайне незначительное число сообщений о проблемах.