Как работают ключи и зачем их менять?
Корпорация по управлению доменными именами и IP-адресами (ICANN) 11 октября приступит к первой в истории смене криптографических ключей. Процедура начнется в 16.00 по всемирному координированному времени (Гринвичу). В официальном заявлении на сайте ICANN утверждается, что в результате с большой вероятностью возникнут локальные сбои в интернете.
Цель обновления — исключить возможность компрометации ключей и повысить безопасность в интернете. В ходе работ сотрудники ICANN обновят так называемый корневой ключ DNSSEC, который представляет собой систему цифровых подписей, предотвращающих злонамеренную подмену сервера.
Обойти капчу: как сайты проверяют человекаDNSSEC впервые заработал в 2010 году — его внедрили в систему доменных имен DNS по инициативе ICANN. Такая система не шифрует передаваемые данные, однако проверяет их достоверность криптографическими способами. В результате минимизируются риски соединиться с вредоносным сервером, который выдает себя за другой сайт.
Изначально в DNS-серверах не была предусмотрена проверка подлинности ответов, поэтому злоумышленники нередко перехватывали запрос компьютера пользователя, который запрашивал нужный IP-адрес. После этого ничего не подозревающему пользователю «подбрасывали» неправильный вариант и он подключался к серверу мошенников.
С 2010 года работающие ключи ни разу не были скомпрометированы, однако ICANN все равно настаивает на замене, так как слишком продолжительный срок службы создает риски. Впервые ICANN заговорила о необходимости провести эту процедуру в 2016 году, но тогда готовность интернет-провайдеров к смене ключей посчитали недостаточной.
Какие пользователи столкнутся с проблемами?
ICANN на своем официальном сайте опубликовала документ с предварительным анализом процедуры. Согласно исследованию, сбои с интернетом в результате смены криптографических ключей коснутся 1-2% пользователей. При этом все остальные ничего не заметят — у них Сеть продолжит работать в стандартном режиме.
Сама процедура практически полностью автоматическая. Результаты обновления проявятся в течение 48 часов. В случае возникновения проблем пользователь начнет получать сообщения об ошибках при попытке выйти в интернет — например, server failure или servfail. Также возможна загрузка сайтов без картинок или замедление работы в Сети.
Сбои прогнозируются для некоторых серверов электронной почты — письма перестанут доходить или будут приходить с ошибками. Сам пользователь при этом ничего сделать не сможет — проблему устранит только интернет-провайдер, которому будет необходимо вручную включить валидацию набора протоколов безопасности DNSSEC.
Как работает интернет: от военной сети до телепортаICANN в своем обращении предупреждает, что возможной паникой обязательно попробуют воспользоваться злоумышленники, которые начнут предлагать скачивать софт, который якобы обеспечит стабильную работу интернета. Пользователям рекомендуют в случае проблем с интернетом обратиться к провайдеру и не устанавливать дополнительные программы.
Ранее крупнейшие официальные операторы «Билайн», «Ростелеком», «Мегафон» и МТС заявили, что готовы к обновлению ключей. Однако спецпредставитель президента России по вопросам цифрового и технологического развития Дмитрий Песков уточнил, что полностью избежать неполадок во время смены ключей будет невозможно.
В зоне риска — пользователи небольших провайдеров, которые могли не обращать внимания на необходимость обновить соответствующее программное обеспечение. По оценкам ICANN, примерно 0,04% серверов на протяжении 48 часов после замены могут некорректно реагировать на новые ключи. При этом уже к 13 октября все возможные проблемы должны быть решены.