ICANN объявила о первом обновлении криптографических ключей для защиты DNS

Корпорация по управлению доменными именами и IP-адресами (ICANN) 11 октября 2018 года планирует провести первую в истории смену криптографических ключей (KSK) для защиты системы доменных имен интернета DNS. Это может привести к проблемам с доступом к Интернету. Однако дата не окончательная, ICANN оставила за собой право ее изменить.

Ключи

ICANN создала криптографические ключи в 2010 году для работы с набором расширений DNSSEC, который обеспечивает проверку подлинности ответов DNS-серверов. Без нее мошенники могли перехватить запрос пользователя, заменить IP-адрес и подключить компьютер к произвольному серверу.

Обновление

Корпорация объявила о необходимости обновления KSK в 2016 году, выпустила открытую часть ключа и назначила переход от старой версии к новой на 11 октября 2017 года. Интернет-провайдеры и сетевые операторы оказались не готовы к смене KSK в это время, а ICANN ни разу не сталкивалась с компрометацией ключа, поэтому перенесла сроки.

В 2017 году примерно у четверти пользователей интернета — около 750 млн человек — доступ в интернет зависел от провайдеров, использующих расширение DNSSEC. Именно эти пользователи могут столкнуться с проблемами, рассказала РБК один из руководителей по глобальному взаимодействию Александра Куликова.

По словам бывшего замруководителя департамента эксплуатации «Яндекса» Владимира Иванова, небольшие провайдеры могли давно включить проверку DNSSEC, но не обратили внимание на необходимость замены ключей сейчас. У клиентов таких компаний может временно снижаться пропускная способность соединений. Специалист по криптографии в ICANN Дмитрий Бурков сомневается, что смена ключей пройдет без ошибок, поскольку определенная доля DNS-программ не способна распознать новые ключи из-за устаревшего ПО. По той же причине 0,04 % серверов, передающих запросы от пользователя, могут неправильно отреагировать на ключ, считает Бурков.

Провайдеры

Исполнительный вице-президент по взаимодействию с органами исполнительной власти «ВымпелКома» Михаил Якушев рассказал, что для всех пользователей компании процедура замены ключей пройдет незаметно. В «Ростелекоме», «МегаФоне» и МТС также готовы к обновлению, пишет РБК.

Безопасность DNS

В марте 2017 года исследователи Cisco Talos обнаружили троян DNSMessenger, который использовал DNS в качестве канала связи. Еще один пример применения системы для взлома: в апреле 2018 года специалисты по безопасности нашли VPN-расширения Google Chrome, которые открывают DNS-запросы посторонним наблюдателям. Они позволяют отправлять их до того, как пользователь нажмет на ссылку, например, при наведении на нее курсора.