Корпорация ICANN готовится к первой в истории смене криптографических ключей, которые служат защитой для системы доменных имен интернета (DNS). Смена ключей, процесс, известный под названием «обновление ключа для подписания ключей (KSK)», назначена на 11 октября 2018 года.
Хотя корпорация ICANN полагает, что последствия смены KSK в корневой зоне для пользователей могут быть незначительными, ожидается, что небольшой процент интернет-пользователей испытает сложности при разрешении доменных имен, что на нетехническом языке значит, что у них возникнут проблемы с определением интернет-адресов. На текущий момент небольшой процент программного обеспечения разрешения имён, проверяющих расширения безопасности системы доменных имен (DNSSEC), неправильно сконфигурированы, от чего могут пострадать некоторые пользователи, зависящие от этого ПО.
Обновление не отразится на пользователях, которые использующих ПО разрешения имён с последним KSK и в котором не включена поддержка DNSSEC-проверки.
Если же в конфигурации корневого ключа доверия ПО не указан новый KSK, то в течение 48 часов после завершения обновления ключа пользователи начнут получать сообщения о невозможности разрешить имя (обычно в форме ошибок типа «server failure» или SERVFAIL). Примечание: Нет возможности предсказать, когда операторы ПО разрешения имён, на которых отразится обновление, заметят, что у них прекратилась проверка DNSSEC.
Результаты анализа позволяют заключить, что более 99% пользователей, чьё ПО выполняет DNSSEC-проверку, от обновления KSK не пострадают. Пользователи, использующие хотя бы одно клиентское ПО, готовое к обновлению, не заметят никаких изменений в использовании DNS и интернета в принципе после обновления (То же можно сказать и о пользователях, в чьём ПО не включена DNSSEC-проверка. На текущий момент предполагается, что таких пользователей приблизительно две трети).
И, наконец, хотя сейчас обновление ключа запланировано на 11 октября 2018 года, эта дата еще подлежит ратификации Правлением ICANN.