В октябре ICANN собирается сменить криптографические ключи, которые обеспечивают защиту системы доменных имен. Ожидается, что в результате этого обновления у небольшого количества пользователей могут возникнуть проблемы с доступом к ряду сайтов.
Криптографический ключ (Key Signing Key – KSK) – часть системы удостоверения данных DNSSEC (Domain Name System Security Extensions), которая обеспечивает безопасность системы доменных имен DNS (Domain Name System), предотвращая атаки на пользователей интернета в результате перехвата доменных имен. Такие атаки могут привести к перенаправлению пользователя на сервер мошенников вместо исходного ресурса.
Использование расширений DNSSEC позволяет гарантировать, что полученные из DNS данные не изменялись в ходе передачи от источника к компьютеру пользователя. Такой результат обеспечивается добавлением цифровой подписи и проверкой подлинности данных DNS. Ключ KSK считается вершиной цепочек доверия в иерархии доменных зон с единым корнем. Его используют так называемые валидирующие рекурсивные резолверы – серверы с поддержкой DNSSEC, которые обрабатывают запросы в системе DNS. Каждый резолвер имеет полученную из доверенного источника копию ключа KSK.
С 2010 года, когда была введена система DNSSEC, KSK ни разу не менялся. Несмотря на то, что он ни разу не был скомпрометирован, корпорация ICANN для профилактики таких случаев планирует сменить криптографический ключ. Вначале смена KSK планировалась на 11 октября прошлого года, но из-за низкой готовности провайдеров была перенесена.
Предварительная смена криптографического ключа намечена на 11 октября 2018 года. Однако эта дата может быть изменена 12 сентября по решению правления ICANN. По сообщению организации смена ключа затронет пользователей, которые зависят от резолвера, в котором включена DNSSEC-валидация, но не используется последний KSK. В таком случае пользователи получат сообщения об ошибках SERVFAIL либо "server failure". Ошибки прекратятся, как только соответствующий оператор резолвера заметит прекращение валидации.
По сообщению представителя ICANN Александры Куликовой, операторы, использующие расширение DNSSEC, в 2017 году обслуживали четверть интернет-пользователей (примерно 0,75 миллиарда человек). Она уверяет, что все крупные игроки уже обновили KSK (например, это уже сделали "Вымпелком", МТС, "Ростелеком" и "Мегафон"). Поэтому проблемы могут возникнуть лишь у незначительного количества пользователей: свыше 99 процентов клиентов тех резолверов, которые выполняют валидацию, не пострадают от обновления KSK.
