Ключи защиты корневых DNS сменили без неприятных последствий
На прошлой неделе ICANN выполнила процедуру смены ключа подписания ключей (key signing key – KSK) корневой зоны DNS; обошлось без заметных пользователям сбоев в работе Интернета, сообщает Координационный центр доменов .ru/.рф.
Напомним, ранее один из наиболее авторитетных в России экспертов, исследователь (dxdt.ru) Александр Венедюхин рассказал D-Russia.ru, что о «массовых перебоях» при смене ключей речи быть не может, устойчивости Рунета ничто не угрожает.
Ключ KSK является центральным элементом криптографической защиты протокола DNSSEC, обеспечивающего аутентификацию источников данных при установке DNS-соединений. Предыдущий ключ KSK был создан еще в 2010 году, и корпорация ICANN на протяжении нескольких лет вела подготовку к его смене.
Изначально процедуру смены ключа подписания ключей планировалось провести в октябре прошлого года, но сроки были перенесены из-за опасений, что значительное число операторов DNS-серверов окажутся не готовы к этой процедуре. Это привело бы к временной недоступности многих интернет-ресурсов для значительного числа пользователей. По некоторым оценкам, их число могло достигнуть 450 миллионов – именно столько пользователей в мире выходят в интернет через провайдеров, которые используют валидирующие резолверы в своих сетях. Однако по оценкам экспертов какие-либо трудности с некоторой вероятностью могли ощутить только 0,04% от них.
На протяжении последнего года корпорация ICANN проделала большую работу по подготовке смены ключа KSK и уведомлению операторов о предстоящей процедуре. Тем не менее, опасения сохранялись до самого последнего момента.
После смены ключа была выдержана пауза в 48 часов на оценку ущерба: двое суток – это стандартное время кэширования информации в резолвере, и по истечении этого срока можно в полном объеме оценить, есть ли изменения в работе системы DNS. Как пишет КЦ, ничего подобного не произошло и смена ключа прошла успешно.
На официальном сайте ICANN создана специальная страница, где можно отслеживать ситуацию. Последнее обновление датировано утром воскресенья и гласит, что по истечении 60 часов после смены ключа KSK зафиксировано лишь крайне незначительное число сообщений о проблемах.