Что поменяют в интернете 11 октября
Корпорация по управлению доменными именами и IP-адресами (ICANN) опубликовала предупреждение о возможных сбоях в интернете в середине октября в связи с запланированной сменой криптографических ключей, которые служат защитой для системы доменных имен интернета, сообщили в пресс-службе организации.
Технология DNSSEC разработана как расширение системы DNS (Domain Name System) для защиты от подмены данных. Она позволяет убедиться, что получаемая из DNS информация о соответствии между именем хоста и IP-адресом соответствует записям, внесенным в DNS администратором доменного имени. Если говорить простым языком, то использование DNSSEC подтверждает, что пользователь интернета попал именно на тот сайт, на который собирался, а не на другой (например, на сайт мошенников, которые хотят получить данные его кредитной карты).
Удостоверение данных в DNSSEC базируется на цепочках доверия, которые строятся в соответствии с иерархией доменных зон, начиная с корневой зоны. Вершиной всех цепочек доверия является ключ корневой зоны доменных имен Root Key Signing Key (далее – KSK). Административное управление корневой зоной DNS и ключом KSK осуществляет корпорация ICANN.
В практике информационной безопасности криптографическим ключам принято назначать время жизни, которое зависит от их свойств и условий использования – то есть ключи время от времени должны заменяться. Корневая зона была подписана в 2010 году, и предполагалось, что ротация ключей случится ещё в 2015 году, но тогда процедуру отложили из-за недостаточной проработки регламентов.
На 11 октября 2017 года была назначена новая дата смены ключей. Но и тогда она была отложена из-за большого количества провайдеров, которые оказались не готовы к ротации.
За прошедшие годы рабочими группами ICANN разработана процедура ротации. В результате ротации все цепочки доверия будут использовать новый ключ. Если этого не сделать, валидация ответов DNS перестанет работать.
В ротации ключа KSK участвуют администраторы серверов, обрабатывающих клиентские запросы в системе DNS и поддерживающих DNSSEC. Эти серверы называются «валидирующими рекурсивными резолверами». Такие DNS-серверы могут быть доступны публично, могут использоваться в закрытых сетях и принадлежать операторам связи, интернет-компаниям и другим организациям.
Ротация не затрагивает авторитативные серверы доменных зон (за исключением корневых). Национальные домены .RU/.РФ и другие доменные зоны продолжают работать в соответствии со стандартными процедурами DNSSEC.
Специалисты MSK-IX активно участвуют в работе профильных комитетов ICANN и международных рабочих группах и осознают как возможные проблемы, так и способы их преодоления.
Публичные DNS-резолверы MSK-IX построены на отказоустойчивой распределенной инфраструктуре и обеспечивают полную поддержку расширений DNSSEC, включая RFC 5011. Все необходимые настройки для автоматической ротации ключа KSK корневой зоны DNS активированы. Согласно правилам RFC 5011, внесение ключа в список доверенных на резолверах MSK-IX произойдет в соответствии с регламентами ротации.
Времени до даты ротации ключей осталось достаточно, для того чтобы администраторы всех уровней успели выполнить настройки. Будем надеяться, что администраторы сетей выполнят все необходимые работы вовремя.