Ключ от интернета: что будет, когда DNS-корень поменяет замок?

В мае 2026 года DNSSEC снова проведёт ротацию корневого ключа — процедуру, которая звучит как сюжет технотриллера, но на деле напоминает смену замка в подъезде, где живёт полпланеты. Если ваш DNS-резолвер не обновит привязанности доверия (trust anchors), пользователи увидят ошибки вместо сайтов. И да, это не шутка про «сломанный CI в пятницу вечером».

Для тех, кто забыл: корневой ключ — это криптографическая «печать», подтверждающая, что DNS-ответы не подделаны. Когда его меняют, старый ключ перестаёт быть доверенным, и резолверы должны автоматически переключиться на новый. Проблема в том, что некоторые старые реализации (привет, legacy-софт) не умеют этого делать без ручного обновления конфигов.

Кому готовиться?

• Операторам DNS-серверов (особенно тем, кто до сих пор держит BIND 9.11).
• Разработчикам embedded-систем, где DNSSEC часто выключен «чтобы не тормозило».
• Всем, кто использует публичные DNS (Google, Cloudflare) — за них можно не переживать, они уже всё обновили.

Проверьте свои trust anchors сейчас, пока не пришлось объяснять клиентам, почему их сайт «не открывается» из-за того, что «интернет сломался». Это как с обновлением сертификатов Let's Encrypt — лучше сделать заранее, чем потом тушить пожары.

Комментарий студии METABYTE: Мы уже проверили свои резолверы и настоятельно рекомендуем сделать то же самое. Если ваш DNS-софт застрял в 2010-х, возможно, пора не только обновить ключи, но и подумать о модернизации инфраструктуры — мы поможем с миграцией, без ночных деплоев и паники.