Інтернет-корпорація із присвоєння імен та номерів (ICANN) оголосила про свої плани змінити 11 жовтня 2026 року якір довіри системи доменних імен (DNS).
Система доменних імен (DNS) ґрунтується на можливості виконання криптографічної перевірки даних за допомогою розширень безпеки DNS. В основі цього ланцюжка безпеки лежить ключ для підписання ключів (KSK) кореневої зони, яким управляє ICANN у рамках виконання функцій адміністрації адресного простору Інтернет. Для підтримки безпеки та дотримання передових криптографічних практик цей «якір довіри» необхідно періодично змінювати, і цей процес заміни відомий як оновлення ключа KSK.

Оновлення ключа KSK використовується не для введення нових функцій, а для подальшої стійкості до мінливих ризиків. Оскільки DNS розподілена по всьому світу, цей процес переходу здійснюється у розміреному темпі. Новий ключ публікується заздалегідь, що дозволяє мережевим операторам та резолверам, що валідують, оновити свої системи. Цей скоординований підхід дозволяє запобігти перебої в обслуговуванні та забезпечує плавний перехід для інтернет-користувачів у всьому світі. Приділення пріоритетної уваги технічній дисципліні та взаємодії із спільнотою дозволяє ICANN забезпечувати стабільність та надійність систем унікальних ідентифікаторів інтернету.

Ключ для підписання ключів кореневої зони (Key Signing Key, KSK) — це головна криптографічна пара ключів (відкритий та закритий), яка лежить в основі системи безпеки DNSSEC та забезпечує автентичність даних у всій глобальній системі доменних імен (DNS). Його головне завдання — підписувати ключ для підписання зон (Zone Signing Key, ZSK), який, у свою чергу, підписує безпосередні записи про домени.
Головні особливості KSK:

  • Найвища ланка довіри: KSK кореневої зони є так званим «якорем довіри» (Trust Anchor) для всього Інтернету. На основі довіри до цього ключа будується перевірка безпеки будь-якого сайту, що використовує DNSSEC
  • Асиметричне шифрування: KSK складається з двох частин. Закритий ключ (private key) зберігається у суворій таємниці на спеціальних апаратних модулях безпеки (HSM). Відкритий ключ (public key) є загальнодоступним. Він вбудований у програмне забезпечення DNS-серверів по всьому світу як «якір довіри» (Trust Anchor)
  • Розподіл функцій: Закрита частина KSK зберігається корпорацією ICANN у надсекретних апаратних модулях безпеки (HSM) у двох географічно віддалених локаціях у США. Відкрита частина ключа зашита в програмне забезпечення мільйонів мережевих пристроїв і серверів по всьому світу
  • Церемонії підписання (Key Ceremony): Будь-які операції із закритим KSK проводяться раз на квартал під час суворих публічних церемоній за участю міжнародних довірених представників спільноти (Crypto Officers)