Домены в интернете образуют древовидную иерархию, растущую из корневого домена. Так, в корневой доменной зоне находятся все привычные домены верхнего уровня: COM, NET, ORG, RU, SU и более двух сотен других доменов. Обслуживают домены верхнего уровня корневые серверы DNS (это 13 сложных распределённых компьютерных систем в дата-центрах по всему миру). Сейчас административное управление корневыми серверами осуществляет корпорация ICANN, а техническое обслуживание - IANA (подразделение ICANN), VeriSign и ряд других телекоммуникационных компаний.

При делегировании полномочий администраторам доменов также работает связанная с доменным деревом иерархия прав. Например, права администрирования домена RU делегированы корпорацией ICANN Координационному центру домена RU. Такое делегирование сопровождалось формальной юридической процедурой, имеющей значение в офлайне. Координационный центр домена RU заключает договоры с регистраторами доменов, делегируя им полномочия по изменению адресации в зоне .ru. Регистраторы определяют права по администрированию доменов второго уровня и делегируют эти права администраторам конкретных доменов, заключая какие-то договоры с этими администраторами. Такая схема, по крайней мере в теории, позволяет установить, какое лицо (юридическое или физическое) и за какую доменную зону отвечает. Соответственно, эти лица и должны подписывать адресную информацию о вверенной им зоне, а вышестоящие организации будут эти подписи удостоверять, основываясь на офлайновых договорах. Такая система выглядит устойчивой, так как отражает правовую практику в офлайне - а ведь все споры решаются именно тут.

Из логики построения систем безопасности ясно, что корневой ключ, запирающий всю систему DNS, не должен принадлежать самой системе. То есть такой ключ необходимо распространять среди участников адресной системы внешним относительно DNS способом, иначе наличие корневого ключа не придаст доверия системе в целом. Например, корневой ключ может распространяться по компьютерам вместе с операционными системами.

При этом корневой ключ соответствует корневой доменной зоне. И вот тут-то начинается политика. Дело в том, что как только корневая зона оказывается подписанной, возникает вопрос: у кого ключ? Понятно, что закрытый ключ, позволяющий подписывать изменения в корневой зоне, должен быть у какой-то одной организации, и она должна хранить его в тайне. При этом любое изменение адресации потребует использования секретного ключа для генерации новой подписи.

Другими словами, участники процесса администрирования корневой зоны не смогут самостоятельно вносить какие-то изменения, а должны будут идти на поклон к ключнику. Ключник же будет волен как угодно ограничивать возможности по изменению корневой зоны. Тут особенно интересно вспомнить мало известные широкой аудитории исторические хитрости распределения компанией VeriSign квот по доступу к реестру домена COM между аккредитованными регистраторами. Однако это тема для отдельной статьи.