Правление ICANN утвердило план и дату смены криптоключа корневой зоны DNS

СМИ пару недель назад проинформировали о возможных проблемах с доступом в интернет после 11 октября, но почти нигде не было уточнения о том, что дата и час “Х” ещё не утверждены руководящим органом ICANN. На заседании 16 сентября была оценена степень готовности участников Интернет-сообщества к смене криптографического ключа для корневой зоны DNS.

Криптографические ключи введены в 2010 году по инициативе ICANN, используются в DNS Security (DNSSEC). Предполагалось, что смена ключа может происходить в случае компроментации или “на всякий случай” с пятилетней периодичностью. В итоге процесс первой смены ключа должен был быть запущен осенью 2017 года.

Обновление KSK означает создание новой пары криптографических ключей – открытого и закрытого – и распространение нового открытого компонента среди сторон, которые управляют распознавателями с функцией проверки подлинности. Это, например, интернет-провайдеры, администраторы сетей, разработчики программного обеспечения для распознавателей DNS, системные интеграторы и т.п., – говорит Александра Куликова, глава по глобальному взаимодействию с заинтересованными сторонами в Восточной Европе и Центральной Азии ICANN.

Смену криптоключа планировалось осуществить ещё год назад, но это изменение было временно отложено, так как у ICANN появились дополнительные данные о потенциальной готовности интернет-компаний и сетевых операторов к смене ключа. Новую информацию было необходимо проанализировать с точки зрения отрицательных последствий. После анализа и консультаций  разработан новый план и было рекомендовано ввести новый ключ в эксплуатацию на год позже, то есть осенью 2018 года.

По мнению технического директора ICANN Дэвида Конрада, примерно 25 процентов интернет-пользователей в мире могут столкнуться с временными проблемами, если провайдер, который их обслуживает, использует DNSSEC и при этом не подготовился к смене ключа. Он предполагает, что эти трудности будут успешно преодолены: “… где-нибудь в мире есть как минимум несколько операторов, не готовых к смене ключа, но даже при этом худшем сценарии им просто надо будет исправить проблему, а именно – отключить валидацию DNSSEC, установить новый ключ, заново включить валидацию DNSSEC, и у их пользователей полностью восстановится возможность связи с DNS”.

Всё время между первоначальной датой и новой в ICANN было потрачено на информирование и поиск наилучших способов снижения рисков нарушения работоспособности какой-либо части Интернет. Так, в конце августа корпорация ICANN ещё раз напомнила о планируемой замене криптографического ключа корневой зоны DNS, дополнительно было подготовлено и опубликовано более подробное описание важного события “What To Expect During the Root KSK Rollover” (PDF).

“Это будет первая, но не последняя смена ключа корневой зоны”, – сообщил Мэтт Ларсон (Matt Larson), вице-президент ICANN по исследовательской деятельности. “В будущем смена ключа уже не будет таким необычным явлением для сетевых операторов, интернет-провайдеров и других”.

Согласно утверждённому Правлением корпорации ICANN плану (пресс-релиз о решении правления на русском и на английском языках) смена криптографического ключа для системы доменных имён (DNS) начнётся 11 октября 2018 года в 4PM UTC (в 16:00 UTC или 19:00 MSK).