Намеченная ICANN на октябрь штатная процедура замены ключей криптозащиты корневых DNS не угрожает Рунету – экспертиза

В четверг публикация РБК, озаглавленная «ICANN предупредила о перебоях в мировом интернете после 11 октября», вывела в пятёрку самых популярных новостей «Яндекса» тему, которая новостью не является, поскольку ICANN предупредила о событии ещё в августе. В любом случае, о «массовых перебоях» речи быть не может, устойчивости Рунета ничто не угрожает, объяснил D-Russia.ru Александр Венедюхин, исследователь (dxdt.ru), один из наиболее авторитетных в России экспертов.

«Для DNS существует криптографическая технология удостоверения подлинности информации DNSSEC, основанная на электронной подписи. Так как DNS является иерархической системой, то и криптографические ключи DNSSEC тоже выстраиваются в иерархию, на вершине которой находится корневой ключ (KSK). Этот корневой ключ и планирует заменить ICANN. Это штатная процедура, называемая «ротацией ключей»: криптографические ключи должны периодически заменяться на новые. Однако для DNSSEC такая замена ни разу не проводилась, несмотря на то, что DNSSEC развёрнута с 2010 года. Дело в том, что при запуске технологии каким-то образом забыли предусмотреть процедуру ротации корневого ключа. ICANN постоянно откладывала замену KSK. В основном под предлогом того, что это может привести к «нарушению стабильности DNS», хотя DNSSEC не имеет большого распространения.

В прошлый раз ротацию KSK планировали провести в конце 2017 года, процесс даже запустили, опубликовав новый ключ в DNS, но в последний момент – заморозили. Есть шанс, что очередную попытку доведут до конца. Нужно отметить, что проводится только ротация ключа – алгоритмы подписи не изменяются. Замена никак не затронет доменные зоны уровнем ниже корневой, в частности, ничего не изменяется для доменов второго уровня и ниже в российских зонах .ru, .su, .рф.

Существует механизм передачи нового ключа на узлы, выполняющие поиск в DNS (обычно это серверы провайдеров доступа), поэтому современное программное обеспечение уже должно получить новый ключ (он давно опубликован в корневой зоне). Серверов, которые не поддерживают DNSSEC (а их большинство), замена ключей не коснётся. Вероятно, лишь совсем малая часть пользователей Интернета может столкнуться с трудностями в результате замены KSK – например, они не смогут зайти на веб-сайты. В Рунете DNSSEC большая редкость: лишь около 2500 зон из более чем пяти миллионов», – говорит Венедюхин.

Публикации РБК днём ранее предшествовала аналогичная на сайте IT World.