Блоги ICANN

Читайте блоги ICANN, чтобы получать новости о деятельности в области формирования политики, региональных мероприятиях и других событиях.

Разработка нового подхода к делегированию в системе доменных имен

8 апреля 2026
Автор

Система доменных имен (DNS) существует с начала 1980-х. Несмотря на возраст, она очень хорошо масштабируется и продолжает быть основополагающим структурным элементом современного интернета. Однако способ, которым DNS делегирует административные полномочия от родительского домена (например, .org) дочернему домену (например, example.org), не менялся с создания DNS. DNS предстоит улучшить, в связи с чем будет изменен способ предоставления информации о делегировании и станет возможно использовать новые функции, такие как дальнейшие усовершенствования безопасности.

Внедрение расширений безопасности системы доменных имен (DNSSEC) было большой вехой, но этот протокол не шифрует DNS-трафик. DNS-данные считались открытыми и предполагалось, что запросы не содержат особой информации о пользователях. Этот подход оказался наивным. В реальности незашифрованный DNS-трафик предоставляет возможность как для слежки, так и для манипуляций.

Шифрование обмена данными между приложениями и резолверами — это простая задача, но шифрование обмена данными между резолверами и авторитативными серверами приводит к возникновению классической дилеммы причины и следствия: как резолверу получить информацию об обязательных параметрах безопасности до подключения?

Сегодня единственная информация, предоставляемая авторитативным сервером для делегирования — это имена серверов, отвечающих за следующий уровень в иерархии и, при использовании DNSSEC, указатель на криптографический ключ, необходимый для валидации ответов.

Инженерная проектная группа Интернета (IETF) работает над усовершенствованием DNS, чтобы обеспечить возможность включения дополнительной информации при делегировании. В случае с зашифрованной DNS, эта дополнительная информация может включать криптографические параметры — и параметры, связанные с протоколами, которые резолвер может использовать для установки защищенного соединения с делегированными серверами имен. Такое значительное изменение принципов делегирования DNS потребует разработки протокола, как в старые добрые времена. Эта работа уже идет в IETF в Рабочей группе DELEG.

Это непростая задача. Эти новые расширения для делегирования (коротко — DELEG) требуют внесения дополнительных элементов в базу DNS-протокола, при этом сохранив совместимость с установленной базой, при чем все это надо сделать таким образом, чтобы обеспечить возможность постепенного развертывания. Кроме того, эти расширения делегирования должны иметь «запас на будущее», чтобы можно было добавлять дополнительные элементы без необходимости менять протокол.

Для того, чтобы DNS оставалась отказоустойчивым и заслуживающим доверия фундаментом интернета, используемая ею модель делегирования должна меняться вместе с моделью угроз. В связи с этим логично дополнить принципы делегирования возможностью включения информации, необходимой для зашифрованного обмена данными между резолвером и авторитативным сервером. Расширение протокола DELEG позволяет сохранить сильные стороны существующей системы, одновременно обеспечив более защищенное и гибкое будущее.

Работа, которая идет в Рабочей группе DELEG — это возможность модернизировать одну из старейших частей архитектуры DNS. Принятие этих изменений позволит DNS-сообществу сохранить устойчивость протокола не только для существующих сегодня приложений, но и для будущих поколений технических решений и пользователей, которые будут на него опираться.

Authors

Roy Arends

Distinguished Technologist