ICANN собралась обновлять криптографические ключи: это сломает Интернет?
Такое происходит впервые с 2010 года, но паниковать не стоит — объясняем, почему.
5К открытий5К показов
Рассказываем, чем грозит обновление криптографических ключей для защиты DNS и можно ли защититься от возможных последствий.
Что случилось?
Корпорация по управлению доменными именами и IP-адресами ICANN объявила, что ориентировочно 11 октября 2018 года впервые обновит криптографические ключи (KSK) для защиты системы доменных имен интернета DNS. Точную дату перехода корпорация утвердит на заседании правления 12 сентября 2018 года.
Что за ключи?
В 2010 году ICANN создала ключ кратковременного пользования ZSK и ключ долговременного пользования KSK для работы с набором расширений DNSSEC. Тогда его согласились установить многие крупные интернет-провайдеры. Он проверяет подлинность ответов DNS-серверов и не дает мошенникам подключать компьютер пользователя к произвольным серверам. ZSK обновляется четыре раза в год, а KSK не изменялся с 2010 года.
Почему обновление проводят только сейчас?
ICANN ни разу не сталкивалась с компрометацией ключей, но ради повышения безопасности все равно назначила переход от старой версии KSK к новой на 11 октября 2017 года. Однако тогда интернет-провайдеры и сетевые операторы оказались не готовы к этому, поэтому изменение ключей отложили на год.
К каким проблемам может привести обновление?
ICANN считает, что в течение 48 часов после обновления часть интернет-пользователей при открытии сайтов будет получать ошибки типа server failure
или SERVFAIL
. Возможно, на некоторых ресурсах просто будут отключены картинки. Почтовые клиенты на компьютерах перестанут получать новые письма, а те, что дойдут, могут содержать ошибки.
Что именно может пойти не так?
Устаревшие DNS-программы не смогут распознать новые ключи и правильно отреагировать на них. В худшем случае сломаются базовые функции, например, синхронизация времени. Это приведет к «эффекту домино», и у провайдеров нарушится работа программ. Кроме того, даже если ключи обновило большинство операторов, пропускная способность соединений может временно снизиться из-за тех, кто этого не сделал.
Проблема только во временной недоступности сайтов?
Паникой могут воспользоваться злоумышленники. Они начнут рассылать спам и давать рекламу с советом скачать программу для стабильной работы Интернета. Их нужно игнорировать — тогда вы будете в безопасности.
Это коснется меня?
Такая вероятность есть. Примерно четверть пользователей интернета — около 750 млн человек — работает с провайдерами, которые используют DNSSEC. Возможно, часть из них до сих пор не настроила нужную конфигурацию на своем сетевом оборудовании. Но крупные провайдеры, скорее всего, давно обновили настройки и перейдут на новый KSK незаметно для своих клиентов и владельцев сайтов. Например, «ВымпелКом», «Ростелеком», «МегаФон» и МТС заявили, что готовы к обновлению KSK.
Как мне защититься от этого?
Никак. Настройки должен обновить ваш провайдер, и от вас этот процесс не зависит. Единственный вариант — сменить оператора, если начнутся проблемы с доступом в Сеть.
5К открытий5К показов