Корпорація з управління доменними іменами і IP-адресами ICANN повідомила про першу в історії зміну криптографічних ключів, які служать захистом для системи доменних імен інтернету — DNS. Перехід на нові ключі — Key Signing Key (KSK) — призначено на 11 жовтня.
При цьому організація попередила, що невеликий відсоток інтернет-користувачів зіткнеться зі складнощами при зміні доменних імен, тобто при перетворенні імені ресурсу в числову IP-адресу, яку компʼютери використовують для зʼєднання один з одним. Таким чином, частина користувачів не зможе відкрити вказаний ними в адресному рядку браузера сайт.
Що таке ключі і навіщо їх змінювати?
Криптографічні ключі зʼявилися в 2010 році за ініціативи ICANN і застосовувалися в розширенні DNS Security (DNSSEC). Спочатку в DNS-серверах не була передбачена перевірка достовірності відповідей, чим користувалися зловмисники: вони могли перехопити запит компʼютера користувача, який намагався встановити IP-адресу свого «місця призначення», і замінити його на неправильний. Таким чином користувач, сам того не помічаючи, міг підключитися до сервера шахраїв. Щоб уникнути цього, було випущено розширення DNSSEC, яке погодилися встановити більшість великих інтернет-провайдерів.
Тоді ж ICANN зобовʼязалася міняти криптографічні ключі при необхідності або після закінчення пʼяти років роботи. Незважаючи на те, що ключ жодного разу не був зламаний за цей час, його заміна, як і паролів, необхідна для безпеки, тому був розроблений детальний план підготовки і здійснення зміни ключа в штатних умовах. Оновлення KSK означає створення нової пари криптографічних ключів — відкритого і закритого — і поширення нового відкритого компонента серед сторін, які керують розпізнавачами з функцією перевірки автентичності.
В їх число входять інтернет-провайдери, адміністратори мереж, розробники програмного забезпечення для розпізнавачів DNS, системні інтегратори тощо.
Чому ключі змінюються вперше?
Незважаючи на те, що пʼятирічний термін для зміни ключа закінчився ще в середині 2015 року, нинішня заміна KSK стане першою в історії ICANN. Вперше про необхідність провести цю процедуру організація оголосила в 2016 році. На наступний рік була випущена відкрита частина ключа, а сам перехід від старої до нової версії був призначений на 11 жовтня 2017 року.
Однак процедуру довелося відкласти через низький рівень готовності інтернет-провайдерів. За даними ICANN, корпорація ще жодного разу не стикалася з ризиком компрометації ключа, тому було прийнято рішення відкласти процедуру його заміни ще на рік для проведення необхідної роботи з операторами.
Скільки користувачів зіткнеться з проблемами?
У 2017 році приблизно у 25% користувачів інтернету — близько 750 мільйонів осіб — доступ в інтернет так чи інакше залежав від операторів, які використовують розширення DNSSEC. Саме ці користувачі, ймовірно, можуть зіткнутися з проблемами. Однак всі великі провайдери, швидше за все, давно провели необхідні оновлення і зможуть перейти на новий KSK.
Зміна криптографічного ключа — процедура не одномоментна, практично автоматична, і більшість операторів звʼязку в світі вже має всі необхідні налаштування у своєму мережевому обладнанні, які дозволять перейти на новий ключ безболісно і абсолютно непомітно як для користувачів, так і для власників інтернет-ресурсів.
Очікується, що більше 99% користувачів від оновлень KSK не постраждають, лише невелика кількість інтернет-користувачів може зіткнутися зі складнощами при доступі до інтернет-ресурсів в результаті заміни ключа. Власники сайтів знають, що Html-код веб-сторінок потрібно перевіряти на валідність в спеціальному сервісі на відповідність вимогам.
Серед проблем, які можуть виникнути, — збій синхронізації часу. З-за цього перестануть працювати багато функцій, невидимі для звичайного користувача. Іншими словами, у людей просто не буде працювати інтернет.
З матеріалів ICANN випливає, що навіть якщо більшість провайдерів оновили ключі, через тих, хто цього не зробив, може тимчасово знижуватися пропускна здатність зʼєднань, а разом з нею і швидкість роботи Мережі.
Фахівці вважають, що зміна ключів не пройде без помилок, оскільки певна частка DNS-програм не здатна розпізнати нові ключі, тому що програмне забезпечення застаріло. З тієї ж причини 0,04% серверів, що передають запити від користувача, можуть неправильно відреагувати на ключ.
І хоча оновлення ключа заплановано на 11 жовтня 2018 року, правління ICANN ще має ратифікувати цю дату.
Принцип роботи інтернету
Кожен пристрій, підключений до Глобальної мережі (сервери, інтернет-сервіси, пристрої користувачів тощо), використовує IP-адресу, за якою його можна знайти. Пошук здійснюється за допомоги Domain Name System (DNS, система доменних імен) — розподіленої компʼютерної системи для отримання інформації про домени. Але числова IP-адреса складна для сприйняття людиною, тому вона переведена в доменне імʼя. Завдяки DNS можна зайти в браузер і написати в рядку конкретний URL. Система сама переведе його для компʼютера в IP-адресу і надішле відповідь на запит користувача у вигляді сторінки сайту, яка відкривається.