ICANN собралась обновлять криптографические ключи: это сломает Интернет?

Рассказываем, чем грозит обновление криптографических ключей для защиты DNS и можно ли защититься от возможных последствий.

Что случилось?

Корпорация по управлению доменными именами и IP-адресами ICANN объявила, что ориентировочно 11 октября 2018 года впервые обновит криптографические ключи (KSK) для защиты системы доменных имен интернета DNS. Точную дату перехода корпорация утвердит на ​заседании правления 12 сентября 2018 года.

Что за ключи?

В 2010 году ICANN создала ключ кратковременного пользования ZSK и ключ долговременного пользования KSK для работы с набором расширений DNSSEC. Тогда его согласились установить многие крупные интернет-провайдеры. Он проверяет подлинность ответов DNS-серверов и не дает мошенникам подключать компьютер пользователя к произвольным серверам. ZSK обновляется четыре раза в год, а KSK не изменялся с 2010 года.

Почему обновление проводят только сейчас?

ICANN ни разу не сталкивалась с компрометацией ключей, но ради повышения безопасности все равно назначила переход от старой версии KSK к новой на 11 октября 2017 года. Однако тогда интернет-провайдеры и сетевые операторы оказались не готовы к этому, поэтому изменение ключей отложили на год.

К каким проблемам может привести обновление?

ICANN считает, что в течение 48 часов после обновления часть интернет-пользователей при открытии сайтов будет получать ошибки типа server failure или SERVFAIL. Возможно, на некоторых ресурсах просто будут отключены картинки. Почтовые клиенты на компьютерах перестанут получать новые письма, а те, что дойдут, могут содержать ошибки.

Что именно может пойти не так?

Устаревшие DNS-программы не смогут распознать новые ключи и правильно отреагировать на них. В худшем случае сломаются базовые функции, например, синхронизация времени. Это приведет к «эффекту домино», и у провайдеров нарушится работа программ. Кроме того, даже если ключи обновило большинство операторов, пропускная способность соединений может временно снизиться из-за тех, кто этого не сделал.

Проблема только во временной недоступности сайтов?

Паникой могут воспользоваться злоумышленники. Они начнут рассылать спам и давать рекламу с советом скачать программу для стабильной работы Интернета. Их нужно игнорировать — тогда вы будете в безопасности.

Это коснется меня?

Такая вероятность есть. Примерно четверть пользователей интернета — около 750 млн человек — работает с провайдерами, которые используют DNSSEC. Возможно, часть из них до сих пор не настроила нужную конфигурацию на своем сетевом оборудовании. Но крупные провайдеры, скорее всего, давно обновили настройки и перейдут на новый KSK незаметно для своих клиентов и владельцев сайтов. Например, «ВымпелКом», «Ростелеком», «МегаФон» и МТС заявили, что готовы к обновлению KSK.

Как мне защититься от этого?

Никак. Настройки должен обновить ваш провайдер, и от вас этот процесс не зависит. Единственный вариант — сменить оператора, если начнутся проблемы с доступом в Сеть.