Что поменяют в интернете 11 октября
Корпорация по управлению доменными именами и IP-адресами (ICANN) опубликовала предупреждение о возможных сбоях в интернете в середине октября в связи с запланированной сменой криптографических ключей, которые служат защитой для системы доменных имен интернета, сообщили в пресс-службе организации.
Технология DNSSEC разработана как расширение системы DNS (Domain Name System) для защиты от подмены данных. Она позволяет убедиться, что получаемая из DNS информация о соответствии между именем хоста и IP-адресом соответствует записям, внесенным в DNS администратором доменного имени. Если говорить простым языком, то использование DNSSEC подтверждает, что пользователь интернета попал именно на тот сайт, на который собирался, а не на другой (например, на сайт мошенников, которые хотят получить данные его кредитной карты).
Удостоверение данных в DNSSEC базируется на цепочках доверия, которые строятся в соответствии с иерархией доменных зон, начиная с корневой зоны. Вершиной всех цепочек доверия является ключ корневой зоны доменных имен Root Key Signing Key (далее – KSK). Административное управление корневой зоной DNS и ключом KSK осуществляет корпорация ICANN.
В практике информационной безопасности криптографическим ключам принято назначать время жизни, которое зависит от их свойств и условий использования – то есть ключи время от времени должны заменяться. Корневая зона была подписана в 2010 году, и предполагалось, что ротация ключей случится ещё в 2015 году, но тогда процедуру отложили из-за недостаточной проработки регламентов.
На 11 октября 2017 года была назначена новая дата смены ключей. Но и тогда она была отложена из-за большого количества провайдеров, которые оказались не готовы к ротации.
За прошедшие годы рабочими группами ICANN разработана процедура ротации. В результате ротации все цепочки доверия будут использовать новый ключ. Если этого не сделать, валидация ответов DNS перестанет работать.
В ротации ключа KSK участвуют администраторы серверов, обрабатывающих клиентские запросы в системе DNS и поддерживающих DNSSEC. Эти серверы называются «валидирующими рекурсивными резолверами». Такие DNS-серверы могут быть доступны публично, могут использоваться в закрытых сетях и принадлежать операторам связи, интернет-компаниям и другим организациям.
Ротация не затрагивает авторитативные серверы доменных зон (за исключением корневых). Национальные домены .RU/.РФ и другие доменные зоны продолжают работать в соответствии со стандартными процедурами DNSSEC.
Специалисты MSK-IX активно участвуют в работе профильных комитетов ICANN и международных рабочих группах и осознают как возможные проблемы, так и способы их преодоления.
Публичные DNS-резолверы MSK-IX построены на отказоустойчивой распределенной инфраструктуре и обеспечивают полную поддержку расширений DNSSEC, включая RFC 5011. Все необходимые настройки для автоматической ротации ключа KSK корневой зоны DNS активированы. Согласно правилам RFC 5011, внесение ключа в список доверенных на резолверах MSK-IX произойдет в соответствии с регламентами ротации.
Времени до даты ротации ключей осталось достаточно, для того чтобы администраторы всех уровней успели выполнить настройки. Будем надеяться, что администраторы сетей выполнят все необходимые работы вовремя.
Как YouTube сам себя дискредитирует и какие угрозы таят VPN-сервисы 
Реестр электронных повесток начал работать в России 
Связисты назвали лучшие модели смартфонов для звонков и серфинга 
Правда ли, что Android перестанет работать в России, а смартфоны станут "кирпичами"? 
Эксперты выбрали лучшие смартфоны для стабильной связи и серфинга в сети 
Спортивное постижение: новый гаджет помогает следить за здоровьем 
Палачом может стать почти любая вещь: Подпольщик заявил - "нас предают наши технологии" 
