Состоялась первая в истории замена ключей шифрования для расширения, защищающего интернет-адреса от хакерских атак. Перед операцией корпорация по управлению доменными именами и IP-адресами ICANN предупреждала о возможных сбоях.
Корпорация по управлению доменными именами и IP-адресами (ICANN) провела обновление ключей шифрования, служащих защитой для системы доменных имен (DNS, Domain Name System) интернета.
Замена криптографических ключей (Key Signing Key, KSK) прошла успешно 11 октября 2018 года.
ICANN контролирует работу корневой зоны системы доменных имен. В обязанности корпорации, помимо прочего, входит обеспечение безопасности системы адресации — соединения пользователя с той страницей в интернете, на которую он хочет попасть путем преобразования имени ресурса в числовой IP-адрес, например, rbc.ru — в 80.68.253.13.
Для защиты пользователей интернета от возможной вредоносной активности хакеров — когда в процессе перехода на страницу один адрес назначения заменяется на неправильный, и пользователь попадает на сервер злоумышленников — ICANN в 2010 году ввела специальной расширение безопасности DNS Security (DNSSEC).
Это расширение работает как подтверждающий механизм, удостоверяющийся в правильности адреса, который запросил пользователь. Для осуществления такой проверки и необходимы ключи — с их помощью интернет-провайдеры, администраторы сетей, разработчики программного обеспечения для распознавателей DNS, системные интеграторы и другие причастные к работе DNS подтверждают подлинность адреса.
Замена криптографических ключей затронет только тех пользователей, чьи операторы используют расширение безопасности DNSSEC, ранее отмечала глава по глобальному взаимодействию с заинтересованными сторонами в Восточной Европе и Центральной Азии ICANN Александра Куликова. По данным 2017 года, это примерно четверть всех пользователей интернета в мире — около 750 млн человек. У большинства крупных операторов установлено DNSSEC.
С 21 августа по 14 сентября 2018 года ICANN проводила опрос о готовности к смене ключей среди операторов. Всего корпорация пригласила к участию в опросе 16 тыс. операторов, использующих DNSSEC. Однако откликнулись немногие — 4%. Тем не менее, согласно сообщению на официальном сайте корпорации, большинство ответивших на запрос ICANN уже были готовы к обновлению ключей. Неподготовленные операторы в основном сообщали о том, что еще завершат все необходимые процедуры до 11 октября. Только два оператора из опрошенных заявили, что если произойдет сбой, они прекратят использовать DNSSEC вообще.
В ICANN ожидают, что крупнейшие игроки готовы к смене ключей, говорила Куликова.
Ключи появились в 2010 году, тогда ICANN взяла на себя обязательство менять их «при необходимости или по истечении пяти лет работы». И хотя срок истек в 2015 году, нынешняя смена ключей будет первой в истории ICANN. Изначально переход был назначен на 11 октября 2017 года, однако тогда исследования показали, что большинство интернет-провайдеров не были готовы к процедуре. По словам Куликовой, несмотря на то что ключ ни разу не был скомпрометирован с момента своего введения, «замена ключей, как и паролей, — это хорошая практика криптографической «гигиены», поэтому был разработан подробный план подготовки и осуществления смены ключа в штатных условиях», что сейчас и происходит.
