Зниження швидкості інтернету, недоступні сайти. Після 11 жовтня можуть виникнути збої в мережі

Автор:
Анастасія Котова
Дата:

Корпорація з управління доменними іменами і IP-адресами ICANN повідомила про першу в історії зміну криптографічних ключів, які служать захистом для системи доменних імен інтернету — DNS. Перехід на нові ключі — Key Signing Key (KSK) — призначено на 11 жовтня.

При цьому організація попередила, що невеликий відсоток інтернет-користувачів зіткнеться зі складнощами при зміні доменних імен, тобто при перетворенні імені ресурсу в числову IP-адресу, яку компʼютери використовують для зʼєднання один з одним. Таким чином, частина користувачів не зможе відкрити вказаний ними в адресному рядку браузера сайт.

Що таке ключі і навіщо їх змінювати?

Криптографічні ключі зʼявилися в 2010 році за ініціативи ICANN і застосовувалися в розширенні DNS Security (DNSSEC). Спочатку в DNS-серверах не була передбачена перевірка достовірності відповідей, чим користувалися зловмисники: вони могли перехопити запит компʼютера користувача, який намагався встановити IP-адресу свого «місця призначення», і замінити його на неправильний. Таким чином користувач, сам того не помічаючи, міг підключитися до сервера шахраїв. Щоб уникнути цього, було випущено розширення DNSSEC, яке погодилися встановити більшість великих інтернет-провайдерів.

Тоді ж ICANN зобовʼязалася міняти криптографічні ключі при необхідності або після закінчення пʼяти років роботи. Незважаючи на те, що ключ жодного разу не був зламаний за цей час, його заміна, як і паролів, необхідна для безпеки, тому був розроблений детальний план підготовки і здійснення зміни ключа в штатних умовах. Оновлення KSK означає створення нової пари криптографічних ключів — відкритого і закритого — і поширення нового відкритого компонента серед сторін, які керують розпізнавачами з функцією перевірки автентичності.

В їх число входять інтернет-провайдери, адміністратори мереж, розробники програмного забезпечення для розпізнавачів DNS, системні інтегратори тощо.

Чому ключі змінюються вперше?

Незважаючи на те, що пʼятирічний термін для зміни ключа закінчився ще в середині 2015 року, нинішня заміна KSK стане першою в історії ICANN. Вперше про необхідність провести цю процедуру організація оголосила в 2016 році. На наступний рік була випущена відкрита частина ключа, а сам перехід від старої до нової версії був призначений на 11 жовтня 2017 року.

Однак процедуру довелося відкласти через низький рівень готовності інтернет-провайдерів. За даними ICANN, корпорація ще жодного разу не стикалася з ризиком компрометації ключа, тому було прийнято рішення відкласти процедуру його заміни ще на рік для проведення необхідної роботи з операторами.

Скільки користувачів зіткнеться з проблемами?

У 2017 році приблизно у 25% користувачів інтернету — близько 750 мільйонів осіб — доступ в інтернет так чи інакше залежав від операторів, які використовують розширення DNSSEC. Саме ці користувачі, ймовірно, можуть зіткнутися з проблемами. Однак всі великі провайдери, швидше за все, давно провели необхідні оновлення і зможуть перейти на новий KSK.

Зміна криптографічного ключа — процедура не одномоментна, практично автоматична, і більшість операторів звʼязку в світі вже має всі необхідні налаштування у своєму мережевому обладнанні, які дозволять перейти на новий ключ безболісно і абсолютно непомітно як для користувачів, так і для власників інтернет-ресурсів.

Очікується, що більше 99% користувачів від оновлень KSK не постраждають, лише невелика кількість інтернет-користувачів може зіткнутися зі складнощами при доступі до інтернет-ресурсів в результаті заміни ключа. Власники сайтів знають, що Html-код веб-сторінок потрібно перевіряти на валідність в спеціальному сервісі на відповідність вимогам.

Серед проблем, які можуть виникнути, — збій синхронізації часу. З-за цього перестануть працювати багато функцій, невидимі для звичайного користувача. Іншими словами, у людей просто не буде працювати інтернет.

З матеріалів ICANN випливає, що навіть якщо більшість провайдерів оновили ключі, через тих, хто цього не зробив, може тимчасово знижуватися пропускна здатність зʼєднань, а разом з нею і швидкість роботи Мережі.

Фахівці вважають, що зміна ключів не пройде без помилок, оскільки певна частка DNS-програм не здатна розпізнати нові ключі, тому що програмне забезпечення застаріло. З тієї ж причини 0,04% серверів, що передають запити від користувача, можуть неправильно відреагувати на ключ.

І хоча оновлення ключа заплановано на 11 жовтня 2018 року, правління ICANN ще має ратифікувати цю дату.

Принцип роботи інтернету

Кожен пристрій, підключений до Глобальної мережі (сервери, інтернет-сервіси, пристрої користувачів тощо), використовує IP-адресу, за якою його можна знайти. Пошук здійснюється за допомоги Domain Name System (DNS, система доменних імен) — розподіленої компʼютерної системи для отримання інформації про домени. Але числова IP-адреса складна для сприйняття людиною, тому вона переведена в доменне імʼя. Завдяки DNS можна зайти в браузер і написати в рядку конкретний URL. Система сама переведе його для компʼютера в IP-адресу і надішле відповідь на запит користувача у вигляді сторінки сайту, яка відкривається.