Корневой домен

Корневая зона DNS обслуживается тринадцатью кластерами корневых серверов, которые являются авторитетными для запросов к доменам верхнего уровня Интернета^[4]. Таким образом, каждое разрешение имени либо начинается с запроса к корневому серверу, либо использует информацию, которая когда-то была получена от корневого сервера.

Кластеры корневых серверов имеют официальные имена от a.root-servers.net до m.root-servers.net. Чтобы разрешить эти имена в адреса, DNS-резолвер должен сначала найти авторитетный сервер для зоны net. Чтобы избежать этой циклической зависимости, адрес по крайней мере одного корневого сервера должен быть известен для начальной загрузки доступа к DNS. Для этой цели операционные системы, DNS-серверы или пакеты программного обеспечения резолверов обычно включают файл со всеми адресами корневых DNS-серверов. Даже если IP-адреса некоторых корневых серверов изменятся, нужен всего для получения текущего списка всех серверов имён. Этот файл адресов называется named.cache в эталонной реализации сервера имён BIND. Текущая официальная версия распространяется InterNIC ICANN^[5].

Имея адрес одного функционирующего корневого сервера, вся остальная DNS-информация может быть обнаружена рекурсивно, и информация о любом доменном имени может быть найдена.

Корневые DNS-серверы имеют важное значение для функционирования Интернета, поскольку большинство интернет-служб, таких как Всемирная паутина и электронная почта, основаны на доменных именах. DNS-серверы являются потенциальными точками отказа для всего Интернета. По этой причине множественные корневые серверы распределены по всему миру^[6]. Размер DNS-пакета в 512 октетов ограничивает DNS-ответ тринадцатью адресами, пока расширения протокола (см. Механизмы расширения для DNS) не сняли это ограничение^[7]. Хотя возможно поместить больше записей в пакет такого размера при использовании сжатия меток, тринадцать было выбрано как надёжный предел. С введением IPv6, преемника интернет-протокола IPv4, предыдущие практики модифицируются, и дополнительное пространство заполняется IPv6-серверами имён.

Корневые серверы DNS размещаются в множественных защищённых местах с высокопропускным доступом для обработки нагрузки трафика. Сначала все эти установки располагались в Соединённых Штатах; однако распределение изменилось, и это больше не так^[8]. Обычно каждая установка DNS-сервера в данном месте представляет собой кластер компьютеров с маршрутизаторами балансировки нагрузки. Полный список серверов, их местоположений и свойств доступен на https://root-servers.org/. По состоянию на на 2023 июня 24 года во всём мире было 1708 корневых серверов^[9].

Современная тенденция заключается в использовании anycast-адресации и маршрутизации для обеспечения устойчивости и балансировки нагрузки на широкой географической области. Например, сервер j.root-servers.net, поддерживаемый Verisign, представлен 104 (на декабрь 1 года) отдельными серверными системами, расположенными по всему миру, к которым можно обращаться с запросами, используя anycast-адресацию^[10].

Содержание интернет-корневого файла зоны координируется дочерней организацией ICANN, которая выполняет функции Администрации адресного пространства Интернет (IANA). Verisign генерирует и распространяет файл зоны различным операторам корневых серверов.

В 1997 году, когда Интернет был передан от правительственного контроля США в частные руки, NTIA осуществляла управление корневой зоной. Документ Министерства торговли 1998 года заявлял, что агентство было «привержено переходу, который позволит частному сектору взять на себя лидерство в управлении DNS». К 2000 году, однако, никаких шагов для осуществления перехода предпринято не было. В марте 2014 года NTIA объявила о переходе своего управления к «глобальному сообществу заинтересованных сторон».

По словам помощника министра торговли по коммуникациям и информации Лоуренса Э. Стриклинга, март 2014 года был подходящим моментом для начала передачи управления глобальному интернет-сообществу. Этот шаг последовал после давления в результате разоблачений того, что Соединённые Штаты и их союзники занимались слежкой. Председатель совета директоров ICANN отрицал связь между этими событиями и сказал, что процесс перехода продолжался уже долгое время. Президент ICANN Фади Чехаде назвал этот шаг историческим и сказал, что ICANN будет двигаться к многостороннему контролю. Различные видные деятели в истории Интернета, не связанные с ICANN, также приветствовали этот шаг.

Объявление NTIA не сразу оказало влияние на деятельность ICANN^[11][12]. 11 марта 2016 года NTIA объявила, что получила план передачи управления корневой зоной и рассмотрит его в течение 90 дней^[13].

Предложение было принято, контракт ICANN на выполнение функций IANA истёк 30 сентября 2016 года, что привело к переходу надзорных функций к глобальному сообществу заинтересованных сторон, представленному в структурах управления ICANN. В качестве одного из составляющих плана передачи управления^[14] была создана новая дочерняя организация Public Technical Identifiers (PTI) для выполнения функций IANA, в том числе для управления корневой зоной DNS.

С июля 2010 года корневая зона подписывается DNSSEC-подписью^[15], обеспечивая единый «якорь доверия» для системы доменных имён, что в свою очередь может использоваться для создания «якоря доверия» для инфраструктуры открытых ключей (PKI). Секция DNSKEY корневой зоны периодически перепод­писывается «ключом подписи ключей» корневой зоны в присутствии свидетелей на «церемонии подписи ключей»^[16][17].

Хотя файл корневой зоны подписан DNSSEC, некоторые DNS-записи, такие как NS-записи, не покрываются DNSSEC-подписями. Для устранения этой уязвимости была введена новая ресурсная запись DNS, называемая ZONEMD, в RFC 8976. ZONEMD не заменяет DNSSEC. ZONEMD и DNSSEC должны использоваться вместе для обеспечения полной защиты файла корневой зоны DNS^[18][19].

Развёртывание ZONEMD для корневой зоны DNS было завершено 6 декабря 2023 года^[20].

DNS-серверы B-Root предлагают экспериментальную поддержку DNS over TLS (DoT) на порту 853^[21].