11 октября должен начаться переход мирового Интернета на новый криптографический ключ (Key Signing Key, KSK). Однако стало известно, что это может повлечь за собой возможные проблемы у пользователей.
Корпорация по управлению доменными именами и IP-адресами (ICANN) на совещании в Бельгии окончательно утвердила план смены криптографического ключа для системы доменных имен (DNS). Отмечается, что 11 октября в 19:00 по Московскому времени будет приведён в действие план смены ключа.
ICANN провела анализ потенциальной готовности сетевых операторов к смене ключа. Это должно было произойти ещё год назад, но появилось обширное количество данных, которое привело к откладыванию инициативы по обновлению мирового Интернета.
Это будет первая, но не последняя смена ключа корневой зоны. Процедура исполняется впервые, так что мы, конечно, выворачиваемся наизнанку, чтобы все прошло максимально гладко. В будущем смена ключа уже не будет таким необычным явлением для сетевых операторов, интернет-провайдеров и других, — сообщил Мэтт Ларсон, вице-президент ICANN по исследовательской деятельности.
Результаты анализа гласят о том, что смена ключа не повлечёт за собой отрицательные последствия. Если всё пойдёт по плану, то «подавляющее большинство» пользователей не столкнутся с проблемами. Корпорацией был выработан новый план и проведена расширенная работа по информированию общественности и поиску наилучших способов снижения последствия рисков, связанных со сменой ключа:
Можно с практически полной уверенностью утверждать, что где-нибудь в мире есть как минимум несколько операторов, не готовых к смене ключа, но даже при этом худшем сценарии им просто надо будет исправить проблему, а именно — отключить валидацию DNSSEC, установить новый ключ, заново включить валидацию DNSSEC, и у их пользователей полностью восстановится возможность связи с DNS, — заявил Давид Конрад, технический директор ICANN.
Конрад отметил, что валидация DNSSEC (или DNS Security — набор протоколов безопасности, которые используются для подтверждения отсутствия непреднамеренных или преднамеренных изменений информации DNS — прим. КД) включена у тысяч сетевых операторов, и этими операторами обслуживается приблизительно четверть интернет-пользователей (около 750 млн человек).
Некоторые российские интернет-провайдеры точно готовы к грядущим изменениям и проблем никаких быть не должно: это и МТС, и «ВымпелКом», и «Ростелеком», а также «МегаФон». В комментарии РБК внешний советник ICANN Дмитрий Бурков отметил, что около 0,04% серверов, которые передают запросы пользователя, могут неверно отреагировать на новые ключи шифрования.
Директор Координационного центра доменов .RU/.РФ утверждает, что провайдеры, которые произвели необходимые обновления — спокойно перейдут на новые настройки:
Большинство операторов связи в мире уже имеет все необходимые настройки в своем сетевом оборудовании, которые позволят перейти на новый ключ безболезненно и абсолютно незаметно как для пользователей, так и для владельцев интернет-ресурсов, — отметил Андрей Воробьев.
Напомним, криптографические ключи появились ещё в 2010 году по инициативе ICANN. Они нужны для того, чтобы избежать случаев незаметного подключения пользователя к серверу злоумышленников. По словам Воробьева, DNSSEC, установленный у многих крупных интернет-провайдеров, выступает глобальным распределённым автоматизированным нотариусом, который подтверждает оператору, что адрес, который он узнал для своего клиента, верен.
