11 октября впервые с 2010 года меняются криптографические ключи защиты Интернета. Они служат для защиты системы доменных имен (DNS). Чем это грозит нам и Интернету?
Что за «зверь» такой DNS?
Для того чтобы понять, что изменится 11 октября, нужно вернуться к истокам. Итак, что такое DNS? Это аббревиатура от английского Domain Name System — система доменных имен. В нашем случае важно понимать, что эта система используется для определения IP-адреса, на который нужно перенаправить пользователя. То есть пользователь вводит адрес сайта, делается DNS-запрос от клиента к серверу, ответом на который приходит IP-адрес сайта, куда клиента необходимо перенаправить.
Зачем вообще вводились ключи
Когда-то давно, на заре Интернета, вопрос безопасности не был основным. Но при развитии Глобальной сети был обнаружен ряд уязвимостей, которыми не преминули воспользоваться мошенники. В частности, изначально подлинность ответов не проверялась. Это приводило к тому, что мошенники могли при запросе подставлять свой IP-адрес вместо правильного, переводя пользователя на свой сайт.
Ситуация разрешилась в 2010 году, когда по инициативе ICANN (Internet Corporation for Assigned Names and Numbers — Корпорация по управлению доменными именами и IP-адресами) были введены криптографические ключи. Для этого было выпущено расширение DNSSEC, которое фактически подтверждает, что адрес, запрошенный для клиента, верный.
При этом ICANN заявила, что планирует менять ключи либо при их дискредитации, либо раз в пять лет. Но, учитывая, что никаких проблем с безопасностью не возникало, срок изменения ключей перенесли на 11 октября 2018 года.
Ждать ли катастрофы 11 октября
По мнению технического директора Qrator Labs, выпускника программы ICANN Fellowship Артема Гавриченкова, о каких-то катастрофических сбоях, тем более по всему миру, речь не идет. Большинство сетей и информационных систем либо не подвержено проблеме в принципе (ввиду отсутствия поддержки DNSSEC), либо вполне к ней готово. Есть, конечно, вопрос человеческого фактора в квалификации IT-персонала, но все популярные сервисы, приложения, связность между сетями — всё это продолжит работать. Проблемы могут возникнуть у некоторых корпоративных сетей. Но такие проблемы должны быть быстро идентифицированы и решены их администраторами.
Проблема может коснуться главным образом домашних сетей доступа в Интернет, но и там влияние смены ключей будет сильно ограничено. В частности, в России DNSSEC, по данным авторитетной лаборатории APNIC Labs, поддерживает не более 20—25% рекурсивных DNS-серверов. И это даже оптимистичная оценка. «Случаев затрудненного доступа будет, скорее всего, сильно меньше», — считает Артем Гавриченков.
«Обычные пользователи могут пострадать лишь в том случае, если локальные или крупные провайдеры не успеют заменить ключи на своей стороне.»
Кто может пострадать от замены ключей криптозащиты
«Обычные пользователи могут пострадать лишь в том случае, если локальные или крупные провайдеры не успеют заменить ключи на своей стороне. В таком случае пользователи не смогут попасть на ресурсы, используя доменные имена, однако по IP-адресам ресурсы будут по-прежнему доступны», — поясняет руководитель направления информационной безопасности Банки.ру Тимур Гараев.
Про изменение ключей было известно давно, что дало возможность рынку подготовиться и внести все необходимые правки. По словам исполнительного вице-президента по взаимодействию с органами исполнительной власти оператора «Билайн» Михаила Якушева, существуют процедуры, по которым ключевая информация по администрируемым нами доменам своевременно заменяется. «Мы следуем этим процедурам, и все должно произойти незаметно для всех пользователей. Фактически речь идет лишь об установке нами обновления соответствующего программного обеспечения. ICANN уже переносил эту замену на несколько месяцев, именно чтобы исключить какие-либо неожиданности и подготовить всех участников к недопущению любых нештатных ситуаций», — говорит Якушев.
Пресс-службы операторов «МТС», «МегаФон» и Tele2 также подтвердили, что готовы к изменениям.
Однако, даже если портал не успел внести необходимые изменения, у вас еще есть время устранить неполадки, следуя совету Артема Гавриченкова:
«В любом случае, есть способ заранее удостовериться, подвержено ли ваше собственное интернет-подключение проблеме обновления ключей. Для этого необходимо зайти на этот сайт и взглянуть на строчку сразу под заголовком. Если она подсвечена красным, рекомендуется написать запрос в поддержку вашего интернет-провайдера, приложив скриншот страницы браузера. Если строка подсвечена зеленым, вам не о чем беспокоиться.
В крайнем случае, вы как пользователь можете в любую минуту бесплатно сменить ваш DNS-сервер в настройках интернет-подключения на тот, который не будет испытывать проблем. Один из таких серверов доступен по IP-адресу 9.9.9.10.»
В общем, масштабной катастрофы, похоже, не ожидается. И слава богу! Ведь именно сейчас мы как никогда зависимы от бесперебойно работающего Интернета.
Антонина САМСОНОВА, Banki.ru
Комментарии
Вспомните "проблему" Y2K. У меня есть дискеты с "исправлением". Представляете, сколько людей на этом наварилось.
Почему я не должен использовать провайдерский DNS, когда он всё равно перенаправляет на вышестоящий?