Через несколько дней, 11 октября 2018 года, произойдёт первое в истории обновление криптографического ключа для защиты корневой структуры DNS — системы доменных имён Интернета. Речь идёт об обновлении корневого ключа DNSSEC — системы цифровых подписей, которая предотвращает подмену сервера.
Как ожидается, работы начнутся в 16:00 по Гринвичу, и, если всё будет нормально, пользователи и провайдеры ничего не заметят. Процесс будет проводиться и координироваться поставщиками DNS, группой Internet Engineering Task Force (IETF), ICANN и другими. Однако есть вероятность, что некоторые старые забытые серверы и виртуальные машины, на которых не обновляли DNSSEC, останутся без доступа к сети.
Впрочем, решение есть. Разработчики Red Hat предприняли свои шаги и постарались максимально автоматизировать процесс. А по ссылке доступен полный план имплементации нового ключа.
Как сообщается, текущий корневой ключ DNSSEC, также называемый KSK-2010, имеет идентификатор 19036. У версии KSK-2017, которую поставят 11 октября, идентификатор ключа 20326.
В случае возникновения проблем рекомендуется просто перезагрузить DNS-сервер. По идее, после этого система должна штатно запуститься. На случай же аварийной ситуации рекомендуется временно перейти на любой из открытых DNS-серверов. Список их выглядит так:
Возможно также придётся изменить некоторые правила брандмауэра. В частности, должен быть доступен порт 53 по TCP и доступ к UDP. Отметим, что в будущем подобная операция вряд ли потребуется, поскольку в ICANN намерены автоматизировать процесс и менять ключ каждые 5–7 лет.