ICANN сообщает о возможных сбоях в работе всемирной сети 11 октября. Они могут случиться из-за первой в истории интернета смены криптографических доменных ключей. Такие ключи защищают DNS. Замена произойдет 11 октября, поэтому в этот и несколько последующих дней интернет может работать нестабильно.
Смена ключей
В октябре 2018 года, возможно, будут сбои в работе интернета по всему миру. Об этом сообщает корпорация по управлению доменными именами и IP-адресами (ICANN). Причиной сбоев может стать «первая в истории смена криптографических ключей, которые служат защитой для системы доменных имен», — говорится в опубликованном ICANN заявлении.
Переход на новые ключи (Key Signing Key, KSK) предварительно назначили на 11 октября 2018 года. Однако эксперты утверждают, что определенные трудности при открытии сайтов будут испытывать «лишь небольшой процент интернет-пользователей».
Для уведомления пользователей сети ICANN опубликовала на своем сайте руководство. Оно рассчитано на аудитории с любым уровнем технических знаний. В документе также подробно и понятно описан весь процесс перехода.
«Наибольшую пользу руководство представляет для операторов валидирующих резолверов, которые желают получить четкие инструкции о том, чего следует ожидать после обновления ключа. А также для журналистов без технической специализации, блогеров и других, планирующих писать об обновлении ключа до, во время и после самого события. Кроме того, документ может оказаться полезным исследователям, которые будут наблюдать за DNS на предмет отказа резолверов после завершения процедуры обновления ключа», — сообщает в пресс-релизе ICANN.
11 октября — это предварительная дата перехода на новые ключи, проинформировала глава по глобальному взаимодействию с заинтересованными сторонами в Восточной Европе и Центральной Азии ICANN Александра Куликова. Точная дата события будет определена на следующей неделе на заседании правления корпорации.
Появление ключей от ICANN
В 2010 году ICANN выступила инициатором появления криптографических ключей. Они применялись в расширении DNS Security (DNSSEC). Поскольку ранее на DNS-серверах не было проверки подлинности ответов, часто этим пользовались злоумышленники. Они перехватывали запрос компьютера пользователя, который пытался установить IP-адрес своего «места назначения», и изменяли его. Так пользователь, сам того не зная, мог подключиться к серверу мошенников. Для того, чтобы этого не происходило, появилось расширение DNSSEC. Его впоследствии установили многие крупные интернет-провайдеры.
Тогда же, в 2010 году, ICANN взяла на себя обязательство, что будет менять криптографические ключи «при необходимости или по истечении пяти лет работы», — напомнила Куликова. — «Несмотря на то, что ключ ни разу не был скомпрометирован за это время, замена ключей, как и паролей, — это хорошая практика криптографической «гигиены». Поэтому был разработан подробный план подготовки и осуществления смены ключа в штатных условиях».
Обновление KSK означает создание новой пары криптографических ключей — открытого и закрытого — и распространение нового открытого компонента среди сторон, которые управляют распознавателями с функцией проверки подлинности. Это, например, интернет-провайдеры, администраторы сетей, разработчики программного обеспечения для распознавателей DNS, системные интеграторы и т.п.
Фото: Unsplash.