После 11 октября в работе мирового Интернета могут возникнуть перебои

В конце августа Корпорация по управлению доменными именами и IP-адресами (ICANN) напомнила, что «готовится к первой в истории смене криптографических ключей, которые служат защитой для системы доменных имен интернета» (DNS). Переход на новые ключи (Key Signing Key, KSK) должен состояться 11 октября.
При этом организация предупредила, что «небольшой процент интернет-пользователей испытает сложности при разрешении доменных имен» (то есть при преобразовании имени ресурса в числовой IP-адрес, например, rbc.ru — в 80.68.253.13), которое компьютеры используют для соединения друг с другом. Из-за таких сложностей часть пользователей, например, не сможет открыть указанный ими в адресной строке браузера сайт.
Несмотря на опубликованное сообщение ICANN, 11 октября — это предварительная дата перехода на новые ключи, рассказала РБК глава по глобальному взаимодействию с заинтересованными сторонами в Восточной Европе и Центральной Азии ICANN Александра Куликова. Точная дата перехода будет утверждена на заседании правления корпорации, которое должно состояться 12 сентября.
Что такое ключи и зачем их менять?
Криптографические ключи появились в 2010 году по инициативе ICANN. Они применялись в расширении DNS Security (DNSSEC). Изначально в DNS-серверах не была предусмотрена проверка подлинности ответов, чем пользовались злоумышленники: они могли перехватить запрос компьютера пользователя, который пытался установить IP-адрес своего «места назначения», и заменить его на неправильный. Таким образом, пользователь, сам того не замечая, мог подключиться к серверу мошенников. Чтобы избежать этого, в 2010 году было выпущено расширение DNSSEC, которое согласились установить многие крупные интернет-провайдеры.
По словам директора Координационного центра доменов .RU/.РФ Андрея Воробьева, DNSSEC обеспечивает безопасность и целостность системы интернет-адресации. «Когда пользователь пытается зайти на какой-то ресурс, его интернет-провайдер выясняет для него адрес, по которому надо сделать запрос, чтобы открылся сайт или приложение, отправилась электронная почта и т.д. DNSSEC выступает таким глобальным распределенным автоматизированным нотариусом, который подтверждает оператору, что адрес, который он узнал для своего клиента, верен», – объяснил Воробьев.
Еще в 2010 году ICANN взяла на себя обязательство, что будет менять криптографические ключи «при необходимости или по истечении пяти лет работы», рассказала Куликова. «Несмотря на то что ключ ни разу не был скомпрометирован за это время, замена ключей, как и паролей, – это хорошая практика криптографической «гигиены», поэтому был разработан подробный план подготовки и осуществления смены ключа в штатных условиях. Обновление KSK означает создание новой пары криптографических ключей – открытого и закрытого – и распространение нового открытого компонента среди сторон, которые управляют распознавателями с функцией проверки подлинности. Это, например, интернет-провайдеры, администраторы сетей, разработчики программного обеспечения для распознавателей DNS, системные интеграторы и т.п.», – пояснила Александра Куликова.
Почему ключи меняются впервые?
Несмотря на то что пятилетний срок для смены ключа истек еще в середине 2015 года, нынешняя смена KSK будет первой в истории ICANN. Впервые о необходимости провести эту процедуру организация объявила в 2016 году. На следующий год была выпущена открытая часть ключа, а сам переход от старой версии к новой был назначен на 11 октября 2017 года. Но мероприятие пришлось отложить из-за низкого уровня готовности интернет-провайдеров, пояснила Куликова.
«Мы знали c самого начала, что стопроцентной готовности к смене KSK не будет, но данные, полученные к лету 2017 года, показали, что к ней было не готово большее количество интернет-провайдеров и сетевых операторов, чем ожидалось», — указала она. По словам представителя ICANN, корпорация еще ни разу не сталкивалась с риском компрометации ключа, поэтому было принято решение отложить процедуру его замены еще на год для проведения необходимой работы с операторами.
РБК