Обновление ключей KSK корневой зоны 11 октября 2018 года : Сеть

Корпорация ICANN инициировала процедуру замены криптографического ключа KSK (Key Signing Key) корневой зоны DNS, используемого в расширениях DNSSEC (Root zone KSK rollover). Новый ключ KSK-2017 начнет применяться с 11 октября 2018 года (пока это предварительная дата).

Удостоверение данных в DNSSEC базируется на цепочках доверия. В иерархии доменных зон с единым корнем вершиной всех цепочек доверия является ключ корневой зоны доменных имен Root Key Signing Key (далее – KSK). Административное управление корневой зоной DNS и ключом KSK осуществляет корпорация ICANN.

Серверы, обрабатывающие клиентские запросы в системе DNS и поддерживающие DNSSEC, называются «валидирующими рекурсивными резолверами». Для проверки цепочек доверия валидирующие резолверы используют открытую часть ключа KSK. Таким образом, каждый такой резолвер должен иметь копию такого ключа KSK, полученную из доверенного источника.

Процедура обновления ключей планировалась на 2017 год, однако, была перенесена на более поздний срок. Сейчас новости о смене ключей публикуются здесь:

Для пользователей смена должна произойти прозрачно, поскольку в игре только крупные игроки. Однако, администраторам рекомендую отслеживать новости, чтобы в случае каких-то неожиданностей знать их предполагаемую дату и иметь резервные варианты.

Вы наверное помните, что завтра произойдёт отключение интернета (на самом деле — нет)

Что произойдет на самом деле

Произойдет первая в истории ротация корневых ключей DNSSEC. Это затронет ресолверы, которые делают проверку DNSSEC. При том, что проникновение DNSSEC в мире меньше 1%, понятно, что плохо натроенные ресолверы мало на что повлияют даже в случае огромного процента таких ресолверов.

Я системный администратор. Как проверить, что мой ресолвер всё делает правильно?

Волшебной командой:
Если результат SERVFAIL, то всё ок, если домен NOERROR и отдал записи, то начинайте беспокоиться и искать, как это исправить.