Корпорация по присвоению имен и номеров в Интернете (ICANN) 17 сентября созвала собрание для возможного принятия решения о целесообразности продолжения многолетнего проекта по обновлению главной пары криптографических ключей, используемых в протоколе модулей безопасности службы доменных имен (DNSSEC) – в основном известной как корневая зона ключа для подписания ключа (KSK) – который защищает основные сервера Интернет.

Изменение и усиление этих ключей является важнейшим шагом в безопасности, в большой мере это похоже на то, как у любого пользователя Интернет со временем формируется привычка смены паролей, говорят в ICANN. Обновление поможет предотвратить некоторые злонамеренные действия, например, захват контроля сессии хакерами или направление пользователей на сайт, который, например, может воровать их персональные данные.

Такой переход корневого ключа KSK от 2010 KSK к 2017 KSK был назначен еще на прошлый год, однако был отложен до 11 октября текущего года по причине того, что он может нарушить интернет совместимость огромного числа пользователей Интернет.

В ICANN говорят, что переход ключа KSK означает создание новых криптографических ключей, как открытых, так и закрытых, а также распространение нового отрытого компонента среди пользователей, работающих как резолверы. Такие резолверы запускают ПО, преобразующее имена веб-сайтов типа local.com.ua в числовой IP-адрес.

Поставщики Интернет-услуг предоставляют такую услугу, так же ее выполняют администраторы корпоративных сетей, другие DNS-резолверы, разработчики такого ПО, системные интеграторы и распространители аппаратной и программной частей, которые устанавливают или поставляют, корневой ключ, заявляют в ICANN.

Также, в ICANN утверждают, что ожидаемое влияние корневого ключа KSK невелико, однако небольшой процент пользователей Интернет может столкнуться с проблемами сопоставления доменных имен и IP-адресов, а это значит, что могут возникнуть проблемы с доступом к необходимым онлайн-ресурсам.

Этот вопрос не очень распространен, и все еще находится на рассмотрении. “На сегодняшний день неправильно настроенных рекурсивных резолверов модулей безопасности службы доменных имен достаточно мало, и те некоторые пользователи, которые полагаются на них, могут столкнуться с проблемами,” пишет ICANN в своем последнем релизе. Рекурсивные резолверы получают запрос о DNS-разрешении и находят DNS-сервер, который способен его выполнить.

Компания Verisign недавно заявила, что ранее, в этом году, она начала связываться с операторами рекурсивных серверов, и, что они сообщали только старый сертификат доверия. Тем не менее, во многих случаях, ответственную сторону определить невозможно из-за большого количества динамических адресов пользователей провайдеров Интернет-услуг. Также, в конце прошлого года, ICANN начала получать данные сертификатов доверия большего количества операторов корневых серверов, а также данные от большего количества серверов рекурсивных имен, так как сервера рекурсивных имен обновили ПО до версий, которые поддерживают такие ключи. На сегодня, количество пользователей, обладающих сертификатом 2010 года достаточно стабильно, оно составляет около 7%, говорят в компании Verisign.

Итак, что же делать предприятиям и другим пользователям сети, если переход все же произойдет? Прежде всего, в ICANN говорят, что пользователи, которые пользуются резолверами с новым ключом KSK и те, которые пользуются резолверами, которые не выполняют верификацию DNSSEC не заметят каких-либо изменений. По предварительным данным аналитиков, более 99% пользователей резолверов не ощутят разницы с переходом на новых ключ.

Корпоративные сети уже должны иметь обновленное ПО, которое способно выполнить автоматический переход на новый ключ (иногда его называют переходниками "RFC 5011"), или же в ближайшее время нужно будет вручную установить новый. Если автоматическое обновление не было включено до 10 сентября, механизм обновления не сможет выполниться успешно и своевременно,” говорит Пол Хоффман, главный технолог ICANN.

“Обратите внимание, что обновление необходимо выполнить вне зависимости от того, подтвердим мы переход 11 октября или нет,” говорит г-н Хоффман. “Новые ключи уже включены как часть доверительных ключей, объявленных в корневой зоне, поэтому они должны стать сертификатом доверия для всех.”

В текущем документе ICANN «Чего ожидать от перехода на новый корневой ключ KSK» упоминается несколько особых моментов:

Если все резолверы пользователей не будут иметь новый ключ KSK в своих настройках сертификата доверия, пользователи столкнутся с проблемами распознавания имени (обычно это ошибки "отказ сервера" или SERVFAIL) на каком-либо этапе в течение 48 часов после перехода. Предсказать, когда операторы пострадавших резолверов заметят, что резолверы их не обслуживают - невозможно.

Когда случится такой отказ, если пользователь использует несколько резолверов (как в большинстве случаев), программная часть их системы попытается обратиться к другим указанным резолверам. Это может замедлить DNS-резолв, ведь система будет пытаться переключить на неподготовленный резолвер, однако пользователь все равно получит  DNS-резолв и может даже не заметить замедления.

Если окажется так, что ни один из резолверов пользователя не подготовлен к переходу (например, если управление ими выполняет одна организация), то в течение 48 часов после перехода пользователь будет иногда получать уведомление об отказе.
Пользователи будут замечать различные проявления отказа в зависимости от того, какую именно программу они запустят, и как эта программа будет реагировать не неудавшийся поиск DNS. Браузеры скорее всего будут выдавать сообщение о том, что страница недоступна (или же на отобразившейся странице будут отсутствовать изображения). В почтовых программах пользователи, возможно, не смогут получать новые письма, или в некоторых частях сообщения будут показаны сообщения об ошибке. Отказы будут появляться, пока программа не сможет загрузить новую информацию из Интернет.

Как только операторы заметят, что их резолверы DNSSEC отказывают в работе, им нужно изменить их конфигурацию и временно отключить верификацию DNSSEC. Это сразу же остановит возникновение ошибок.
После этого, операторам как можно скорее нужно установить ключ KSK-2017 в качестве корневого и снова включить верификацию DNSSEC. Организация ICANN предоставляет инструкции по обновлению корневых ключей для большинства ПО резолверов.

“Этот переход на новый ключ не является новой технологией, фактически, когда добавляли первый ключ в корневую зону в 2010 году, мы знали, что в какой-то момент его нужно будет поменять,” говорит г-н Хоффман.  “Выполнение перехода поможет сделать DNS более устойчивой, тем самым давая возможность выполнить и последующие переходы в будущем, ведь они будут необходимы.”