В ICANN предупредили о возможных перебоях в работе интернета после 11 октября

Корпорация по управлению доменными именами и IP-адресами (ICANN) предупредила о возможных перебоях в работе интернета. Проблемы будут наблюдаться у операторов и провайдеров, использующих расширение DNS Security (DNSSEC), которые служат защитой для системы доменных имен интернета (DNS), и затронут примерно 750 миллионов юзеров. Предполагается, что смена ключей негативно скажется на доступности ресурсов из-за увеличенного времени пинга. Кроме того, у провайдеров могут сломаться базовые функции, например, синхронизация времени.

17 сентября 2018 года состоится заседание членов организации ICANN, в ходе которого, вероятно, будет принято окончательное решение, давать ли ход многолетнему проекту по смене криптографических ключей для протокола Domain Name System Security Extensions (DNSSEC). Эта пара ключей также известна как ключ корневой зоны для подписания ключей KSK (Key Signing Keys) и обеспечивает защиту фундаментальных серверов интернета.

Первое в истории Сети обновление KSK запланировано на 11 октября текущего года. В результате небольшой процент пользователей испытает сложности при разрешении доменных имен (то есть при преобразовании имени ресурса в числовой IP-адрес) и не сможет открыть указанный ими в адресной строке браузера сайт.

Смена ключей является важным шагом в усилении безопасности, как и привычка пользователей регулярно менять пароли, считает ICANN. Обновление защитит от вредоносной активности, в частности сделает невозможным для злоумышленников перехват сеанса и перенаправление пользователей на вредоносные сайты.

"Когда пользователь пытается зайти на какой-то ресурс, его интернет-провайдер выясняет для него адрес, по которому надо сделать запрос, чтобы открылся сайт или приложение, отправилась электронная почта и т.д. DNSSEC выступает таким глобальным распределённым автоматизированным нотариусом, который подтверждает оператору, что адрес, который он узнал для своего клиента, верен", – пояснил директор Координационного центра доменов .RU/.РФ Андрей Воробьев.

Как сообщила Куликова, после запуска DNSSEC ICANN пообещала, что будет менять криптографические ключи через пять лет работы или при возникновении необходимости их замены. Хотя с 2010 года система ни разу не была скомпрометирована, в ICANN разработали план перехода на новые ключи KSK.

"Обновление KSK означает создание новой пары криптографических ключей — открытого и закрытого — и распространение нового открытого компонента среди сторон, которые управляют распознавателями с функцией проверки подлинности. Это, например, интернет-провайдеры, администраторы сетей, разработчики программного обеспечения для распознавателей DNS, системные интеграторы и т.п.", – сообщила Куликова, уточнив, что изначально переход на KSK должен был состояться год назад, но его пришлось отложить из-за неготовности провайдеров.

По словам Воробьёва, процедура перехода на ключи KSK является практически автоматической и большинство провайдеров уже имеет все необходимые настройки в своём сетевом оборудовании, которые позволят перейти на новый ключ безболезненно и незаметно для пользователей и владельцев сайтов.

В свою очередь, бывший заместитель руководителя департамента эксплуатации "Яндекса" Владимир Иванов отметил, что небольшие интернет-провайдеры могли включить себе проверку DNSSEC много лет назад, но не обратили внимание на то, что сейчас необходимо было поменять ключи.

"Если сильно не повезет, могут сломаться базовые функции, такие как синхронизация времени. В этом случае "сломается" очень многое, но это всё невидимо для людей. У людей просто "не будет работать интернет", – сказал Иванов.

Для чего это делают – обычная предосторожность. Вообще говоря криптоключ DNS ни разу не был взломан, но профилактическая замена — нужный процесс. Да и как бы реально проблемы будут максимум несколько часов, 48 часов — максимум.