Корневая зона DNS — это зона DNS верхнего уровня в иерархическом пространстве имен системы доменных имен (DNS) Интернета.
До 1 октября 2016 года корневая зона находилась под контролем Интернет-корпорации по присвоению имен и номеров (ICANN), которая делегировала управление дочерней компании, действующей в качестве Управления по присвоению номеров в Интернете (IANA). [1] Услуги по распространению предоставляются компанией Verisign . До этого ICANN выполняла управленческие функции под надзором Национального управления по телекоммуникациям и информации (NTIA), агентства Министерства торговли США . [2] Ответственность за надзор перешла к глобальному сообществу заинтересованных сторон , представленному в структурах управления ICANN.
Сочетание ограничений в определении DNS и в некоторых протоколах, а именно практический размер нефрагментированных пакетов протокола пользовательских дейтаграмм [2] (UDP), привело к практическому максимуму в 13 адресов корневых серверов имен, которые могут быть включены в ответы на запросы имен DNS. . Однако корневая зона обслуживается несколькими сотнями серверов в более чем 130 точках во многих странах. [3] [4]
Корневая зона DNS обслуживается тринадцатью кластерами корневых серверов, которые отвечают за запросы к доменам верхнего уровня Интернета. [5] [6] Таким образом, каждое разрешение имен либо начинается с запроса к корневому серверу, либо использует информацию, которая когда-то была получена с корневого сервера.
Кластеры корневых серверов имеют официальные названия от a.root-servers.net до m.root-servers.net . [6] Чтобы преобразовать эти имена в адреса, преобразователь DNS должен сначала найти авторитетный сервер для сетевой зоны. Чтобы избежать этой циклической зависимости , должен быть известен адрес хотя бы одного корневого сервера для начальной загрузки доступа к DNS. Для этой цели операционные системы, DNS-серверы или пакеты программного обеспечения преобразователя обычно включают файл со всеми адресами корневых DNS-серверов. Даже если IP-адреса некоторых корневых серверов изменятся, для получения текущего списка всех серверов имен необходим хотя бы один. В эталонной реализации сервера имен BIND этот адресный файл называется «named.cache» . Текущая официальная версия распространяется через InterNIC ICANN . [7]
Имея адрес единственного функционирующего корневого сервера, вся остальная информация DNS может быть обнаружена рекурсивно, а также может быть найдена информация о любом доменном имени.
Корневые DNS-серверы необходимы для функционирования Интернета, поскольку большинство интернет-сервисов, таких как Всемирная паутина и электронная почта, основаны на доменных именах. DNS-серверы являются потенциальными точками сбоя для всего Интернета. По этой причине по всему миру распределено несколько корневых серверов. [8] Размер DNS-пакета в 512 октетов ограничивает ответ DNS тринадцатью адресами, пока расширения протокола ( см. Механизмы расширения DNS ) не сняли это ограничение. [9] Хотя при использовании сжатия меток в пакет такого размера можно поместить больше записей, в качестве надежного предела было выбрано тринадцать. С момента появления IPv6 , преемника Интернет-протокола IPv4 , предыдущие методы были изменены, и дополнительное пространство было заполнено серверами имен IPv6 .
Корневые серверы имен размещены на нескольких защищенных сайтах с доступом с высокой пропускной способностью для обработки трафика. Сначала все эти установки располагались в США; однако распределение изменилось, и это уже не так. [10] Обычно каждая установка DNS-сервера на данном сайте представляет собой кластер компьютеров с маршрутизаторами балансировки нагрузки. [9] Полный список серверов, их местоположений и свойств доступен по адресу https://root-servers.org/. По состоянию на 24 июня 2023 года [обновлять]в мире насчитывалось 1708 корневых серверов. [11]
Современная тенденция заключается в использовании произвольной адресации и маршрутизации для обеспечения устойчивости и балансировки нагрузки в широкой географической области. Например, сервер j.root-servers.net , поддерживаемый компанией Verisign , представлен 104 (по состоянию на январь 2016 года [обновлять]) отдельными серверными системами, расположенными по всему миру, запросы к которым можно осуществлять с использованием произвольной адресации. [12]
Содержимое файла корневой зоны Интернета координируется дочерней компанией ICANN, которая выполняет функции Управления по присвоению номеров Интернета (IANA). Verisign создает и распространяет файл зоны различным операторам корневых серверов.
В 1997 году, когда Интернет перешел из-под контроля правительства США в частные руки, NTIA взяло на себя управление корневой зоной. В документе Министерства торговли 1998 года говорилось, что агентство «привержено переходу, который позволит частному сектору взять на себя лидерство в управлении DNS» к 2000 году, однако никаких шагов для осуществления перехода предпринято не было. В марте 2014 года NTIA объявило, что передаст свою координирующую роль «глобальному сообществу заинтересованных сторон». [5]
По словам помощника министра торговли по коммуникациям и информации Лоуренса Э. Стриклинга, март 2014 года стал подходящим временем для начала передачи этой роли глобальному интернет-сообществу. Этот шаг был предпринят после того, как стало известно о том, что Соединенные Штаты и их союзники вели слежку. Однако председатель правления ICANN отрицал связь между этими двумя событиями и заявил, что процесс перехода продолжается уже долгое время. Президент ICANN Фади Шехаде назвал этот шаг историческим и заявил, что ICANN будет двигаться к контролю с участием многих заинтересованных сторон. Различные видные деятели в истории Интернета, не связанные с ICANN, также приветствовали этот шаг. [5]
Заявление NTIA не оказало непосредственного влияния на то, как ICANN выполняет свою роль. [5] [13] 11 марта 2016 года NTIA объявило, что оно получило предложенный план по передаче своей роли по управлению корневой зоной и рассмотрит его в течение следующих 90 дней. [14]
Предложение было принято, и 30 сентября 2016 г. истек срок действия продленного контракта ICANN на выполнение функций IANA, в результате чего ответственность за надзор перешла к глобальному сообществу заинтересованных сторон, представленному в структурах управления ICANN. В рамках плана перехода [15] было создано новое дочернее предприятие под названием Public Technical Identifiers (PTI) для выполнения функций IANA, включая управление корневой зоной DNS.
С июля 2010 года корневая зона подписывается подписью DNSSEC , [16] обеспечивая единый якорь доверия для системы доменных имен, который, в свою очередь, может использоваться для предоставления якоря доверия для другой инфраструктуры открытых ключей (PKI). Раздел DNSKEY корневой зоны периодически переподписывается с помощью ключа подписи ключа корневой зоны , выполняемого поддающимся проверке способом в присутствии свидетелей на церемонии подписания ключа . [17] [18] KSK2017 с идентификатором 20326 действителен с 2020 года.
{{cite web}}
: CS1 maint: другие ( ссылка )