День, когда Интернет остановят: что нужно знать про смену ключей

Как работают ключи и зачем их менять?

Корпорация по управлению доменными именами и IP-адресами (ICANN) 11 октября приступит к первой в истории смене криптографических ключей. Процедура начнется в 16.00 по всемирному координированному времени (Гринвичу). В официальном заявлении на сайте ICANN утверждается, что в результате с большой вероятностью возникнут локальные сбои в интернете.

Цель обновления — исключить возможность компрометации ключей и повысить безопасность в интернете. В ходе работ сотрудники ICANN обновят так называемый корневой ключ DNSSEC, который представляет собой систему цифровых подписей, предотвращающих злонамеренную подмену сервера.

DNSSEC впервые заработал в 2010 году — его внедрили в систему доменных имен DNS по инициативе ICANN. Такая система не шифрует передаваемые данные, однако проверяет их достоверность криптографическими способами. В результате минимизируются риски соединиться с вредоносным сервером, который выдает себя за другой сайт.

Изначально в DNS-серверах не была предусмотрена проверка подлинности ответов, поэтому злоумышленники нередко перехватывали запрос компьютера пользователя, который запрашивал нужный IP-адрес. После этого ничего не подозревающему пользователю «подбрасывали» неправильный вариант и он подключался к серверу мошенников.

С 2010 года работающие ключи ни разу не были скомпрометированы, однако ICANN все равно настаивает на замене, так как слишком продолжительный срок службы создает риски. Впервые ICANN заговорила о необходимости провести эту процедуру в 2016 году, но тогда готовность интернет-провайдеров к смене ключей посчитали недостаточной.

Какие пользователи столкнутся с проблемами?

ICANN на своем официальном сайте опубликовала документ с предварительным анализом процедуры. Согласно исследованию, сбои с интернетом в результате смены криптографических ключей коснутся 1-2% пользователей. При этом все остальные ничего не заметят — у них Сеть продолжит работать в стандартном режиме.

Сама процедура практически полностью автоматическая. Результаты обновления проявятся в течение 48 часов. В случае возникновения проблем пользователь начнет получать сообщения об ошибках при попытке выйти в интернет — например, server failure или servfail. Также возможна загрузка сайтов без картинок или замедление работы в Сети.

Сбои прогнозируются для некоторых серверов электронной почты — письма перестанут доходить или будут приходить с ошибками. Сам пользователь при этом ничего сделать не сможет — проблему устранит только интернет-провайдер, которому будет необходимо вручную включить валидацию набора протоколов безопасности DNSSEC.

ICANN в своем обращении предупреждает, что возможной паникой обязательно попробуют воспользоваться злоумышленники, которые начнут предлагать скачивать софт, который якобы обеспечит стабильную работу интернета. Пользователям рекомендуют в случае проблем с интернетом обратиться к провайдеру и не устанавливать дополнительные программы.

Ранее крупнейшие официальные операторы «Билайн», «Ростелеком», «Мегафон» и МТС заявили, что готовы к обновлению ключей. Однако спецпредставитель президента России по вопросам цифрового и технологического развития Дмитрий Песков уточнил, что полностью избежать неполадок во время смены ключей будет невозможно.

В зоне риска — пользователи небольших провайдеров, которые могли не обращать внимания на необходимость обновить соответствующее программное обеспечение. По оценкам ICANN, примерно 0,04% серверов на протяжении 48 часов после замены могут некорректно реагировать на новые ключи. При этом уже к 13 октября все возможные проблемы должны быть решены.