RPKI

Resource Public Key Infrastructure — криптографический фреймворк, который валидирует, кто владеет и анонсирует блоки IP-адресов в интернете. RPKI использует цифровые сертификаты для привязки IP-префиксов к автономным системам (ASN), предотвращая BGP-hijacks, где злоумышленник анонсирует чужое IP-пространство и перехватывает трафик. Вот в чём суть: BGP, протокол маршрутизации, который движет пакеты через интернет, по сути доверчив. Кто угодно может анонсировать любой IP-блок, если управляет маршрутизатором. RPKI добавляет слой подписи — иерархия CA, управляемая региональными реестрами интернета (RIR), выдаёт сертификаты, доказывающие «этому AS авторизировано анонсировать этот IP-диапазон». Маршрутизаторы с включённой валидацией RPKI проверяют эти подписи и отклоняют неправильные анонсы. Это не идеально — принятие всё ещё частичное, и это не предотвращает hijacks от авторизированных ASN — но останавливает очевидные атаки. Для владельцев доменов RPKI важен, потому что твоя DNS-инфраструктура живёт в интернете, и route-hijacking может её отключить. Если твой регистратор или DNS-хост управляет маршрутизируемыми IP без валидации RPKI, они уязвимы. Большинство серьёзных операторов сейчас используют его; некоторые бункерные хостеры совсем его пропускают. Стоит спросить твоего провайдера.