Снижение скорости интернета, недоступные сайты. После 11 октября могут возникнуть сбои в сети
- Автор:
- Анастасия Котова
- Дата:
Duran / Flickr
Корпорация по управлению доменными именами и IP-адресами ICANN сообщила о первой в истории смене криптографических ключей, которые защищают систему доменных имен интернета — DNS. Переход на новые ключи — Key Signing Key (KSK) — назначен на 11 октября.
При этом организация предупредила, что небольшой процент интернет-пользователей испытает сложности при изменении доменных имен, то есть при преобразовании имени ресурса в числовой IP-адрес, который компьютеры используют для соединения друг с другом. Таким образом, некоторые пользователи не смогут открыть указанный ими в адресной строке браузера сайт.
Что такое ключи и зачем их менять?
Криптографические ключи появились в 2010 году по инициативе ICANN и применялись в расширении DNS Security (DNSSEC). Изначально в DNS-серверах не была предусмотрена проверка подлинности ответов, чем пользовались злоумышленники: они могли перехватить запрос компьютера пользователя, который пытался установить IP-адрес своего «места назначения», и заменить его на неправильный. Таким образом пользователь, сам того не замечая, мог подключиться к серверу мошенников. Чтобы избежать этого, было выпущено расширение DNSSEC, которое согласились установить многие крупные интернет-провайдеры.
Тогда же ICANN обязалась менять криптографические ключи при необходимости или по истечении пяти лет работы. Несмотря на то, что ключ ни разу не был взломан за это время, его замена, как и паролей, необходима для безопасности, поэтому был разработан подробный план подготовки и осуществления смены ключа в штатных условиях. Обновление KSK означает создание новой пары криптографических ключей — открытого и закрытого — и распространение нового открытого компонента среди сторон, которые управляют распознавателями с функцией проверки подлинности.
В их число входят интернет-провайдеры, администраторы сетей, разработчики программного обеспечения для распознавателей DNS, системные интеграторы и т. д.
Почему ключи меняются впервые?
Несмотря на то, что пятилетний срок для смены ключа истек еще в середине 2015 года, нынешнее изменение KSK будет первым в истории ICANN. Впервые о необходимости провести эту процедуру организация объявила в 2016 году. На следующий год была выпущена открытая часть ключа, а сам переход от старой версии к новой был назначен на 11 октября 2017 года.
Однако процедуру пришлось отложить из-за низкого уровня готовности интернет-провайдеров. По данным ICANN, корпорация еще ни разу не сталкивалась с риском компрометации ключа, поэтому было решено отложить процедуру его замены еще на год для проведения необходимой работы с операторами.
Сколько пользователей столкнется с проблемами?
В 2017 году примерно у 25% пользователей интернета — около 750 миллионов человек — доступ в интернет так или иначе зависел от операторов, использующих расширение DNSSEC. Именно эти пользователи, возможно, столкнутся с проблемами. Однако все крупные провайдеры, скорее всего, давно произвели необходимые обновления и смогут перейти на новый KSK.
Смена криптографического ключа — процедура не одномоментная, практически автоматическая, и большинство операторов связи в мире уже имеют все необходимые настройки в своем сетевом оборудовании, которые позволят перейти на новый ключ безболезненно и абсолютно незаметно как для пользователей, так и для владельцев интернет-ресурсов.
Ожидается, что более 99% пользователей от обновления KSK не пострадают, лишь небольшое количество интернет-пользователей может столкнуться со сложностями при доступе к интернет-ресурсам в результате замены ключа. Владельцы же сайтов знают, что Html-код веб-страниц нужно проверять на валидность в специальном сервисе на соответствие требованиям.
Среди проблем, которые могут возникнуть, — сбой синхронизации времени. Из-за этого перестанут работать многие функции, невидимые для обычного пользователя. Другими словами, у людей просто не будет работать интернет.
Из материалов ICANN следует, что даже если большинство провайдеров обновили, из-за тех, кто этого не сделал, может временно понижаться пропускная способность соединений, а вместе с ней и скорость работы Сети.
Специалисты считают, что смена ключей не пройдет без ошибок, так как определенная доля DNS-программ не способна распознать новые ключи, потому что программное обеспечение устарело. По той же причине 0,04% серверов, передающих запросы от пользователя, могут неправильно отреагировать на ключ.
И хотя обновление ключа запланировано на 11 октября 2018 года, эту дату еще должно ратифицировать правление ICANN.
Принцип работы интернета
Каждое устройство, подключенное к Глобальной сети (серверы, интернет-сервисы, пользовательские устройства и т. д.), использует IP-адрес, по которому его можно найти. Поиск осуществляется с помощью Domain Name System (DNS, системы доменных имен) — компьютерной распределительной системы для получения информации о доменах. Но числовой IP-адрес сложен для восприятия человеком, поэтому он переведен в доменное имя. Благодаря DNS можно зайти в браузер и написать в строке конкретный URL. Система сама переведет его для компьютера в IP-адрес и пришлет ответ на запрос пользователя в виде открывающейся страницы сайта.