на главнуюВсе эхи RU.SAN_IZONE
войти ?

ICANN предупредила о перебоях в мировом интернете после 11 октября

От Anton Gorlov (2:5059/37) к All

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)


Привет All!

ICANN предупредила о перебоях в мировом интернете после 11 октября
После 11 октября пользователи могут столкнуться со снижением скорости работы в Сети, а часть сайтов будет недоступна. Причина ? первое в истории обновление настроек защиты мировой системы доменных имен. Готовы к этому не все
Фото: Toru Hanai / Reuters

В конце августа Корпорация по управлению доменными именами и IP-адресами (ICANN) напомнила, что ╚готовится к первой в истории смене криптографических ключей, которые служат защитой для системы доменных имен интернета╩ (DNS). Переход на новые ключи (Key Signing Key, KSK) должен состояться 11 октября. При этом организация ?предупредила, что ╚небольшой процент интернет-пользователей испытает сложности при разрешении доменных имен╩ (то есть при преобразовании имени ресурса в числовой IP-адрес, например, rbc.ru ? в 80.68.253.13), которое компьютеры используют для соединения друг с другом. Из-за таких сложностей часть пользователей, например, не сможет открыть указанный ими в адресной строке браузера сайт.

Несмотря на опубликованное сообщение ICANN, 11 октября ? это предварительная дата перехода на новые ключи, рассказала РБК глава по глобальному взаимодействию с заинтересованными сторонами в Восточной Европе и Центральной Азии ICANN Александра Куликова. Точная дата перехода будет утверждена на ?заседании правления корпорации, которое должно состояться на следующей неделе, 12 сентября.

Что такое ключи и зачем их менять?

Криптографические ключи появились в 2010 году по инициативе ICANN. Они применялись в расширении DNS Security (DNSSEC). Изначально в DNS-серверах не была предусмотрена проверка подлинности ответов, чем пользовались злоумышленники: они могли перехватить запрос компьютера пользователя, который пытался установить IP-адрес своего ╚места назначения╩, и заменить его на неправильный. Таким образом, пользователь, сам того не замечая, мог подключиться к серверу мошенников. Чтобы избежать этого, в 2010 году было выпущено расширение DNSSEC, которое согласились установить многие крупные интернет-провайдеры. ?

По словам директора Координационного центра доменов .RU/.РФ Андрея Воробьева, DNSSEC обеспечивает безопасность и целостность системы интернет-адресации. ╚Когда пользователь пытается зайти на какой-то ресурс, его интернет-провайдер выясняет для него адрес, по которому надо сделать запрос, чтобы открылся сайт или приложение, отправилась электронная почта и т.д. DNSSEC выступает таким глобальным распределенным автоматизированным нотариусом, который подтверждает оператору, что адрес, который он узнал для своего клиента, верен╩, ? объяснил Воробьев.

Еще в 2010 году ICANN взяла на себя обязательство, что будет менять криптографические ключи ╚при необходимости или по истечении пяти лет работы╩, рассказала Куликова. ╚Несмотря на то что ключ ни разу не был скомпрометирован за это время, замена ключей, как и паролей, ? это хорошая практика криптографической ╚гигиены╩, поэтому был разработан подробный план подготовки и осуществления смены ключа в штатных условиях. Обновление KSK означает создание новой пары криптографических ключей ? открытого и закрытого ? и распространение нового открытого компонента среди сторон, которые управляют распознавателями с функцией проверки подлинности. Это, например, интернет-провайдеры, администраторы сетей, разработчики программного обеспечения для распознавателей DNS, системные интеграторы и т.п.╩, ? пояснила Александра Куликова.

Почему ключи меняются впервые?

Несмотря на то что пятилетний срок для смены ключа истек еще в середине 2015 года, нынешняя смена KSK будет первой в истории ICANN. Впервые о необходимости провести эту процедуру организация объявила в 2016 году. На следующий год была выпущена открытая часть ключа, а сам переход от старой версии к новой был назначен на 11 октября 2017 года. Но мероприятие пришлось отложить из-за низкого уровня готовности интернет-провайдеров, пояснила Куликова. ╚Мы знали c самого начала, что стопроцентной готовности к смене KSK не будет, но данные, полученные к лету 2017 года, показали, что к ней было не готово большее количество интернет-провайдеров и сетевых операторов, чем ожидалось╩, ? указала она. По словам представителя ICANN, корпорация еще ни разу не сталкивалась с риском компрометации ключа, поэтому было принято решение отложить процедуру его замены еще на год для проведения необходимой работы с операторами.

Сколько пользователей столкнется с проблемами?

По словам Александры Куликовой, в 2017 году примерно у четверти пользователей интернета ? около 750 млн человек ? доступ в интернет так или иначе зависел от операторов, использующих расширение DNSSEC. Именно эти пользователи потенциально могут столкнуться с проблемами. Однако, по мнению Куликовой, все крупные игроки, скорее всего, давно произвели необходимые обновления и смогут перейти на новый KSK. Смена криптографического ключа ? процедура не одномоментная, фактически она идет на протяжении последних двух лет, отметил Андрей Воробьев. По его словам, процедура практически автоматическая и ╚большинство операторов связи в мире уже имеет все необходимые настройки в своем сетевом оборудовании, которые позволят перейти на новый ключ безболезненно и абсолютно незаметно как для пользователей, так и для владельцев интернет-ресурсов╩. ╚Мы полагаем, что благодаря лучшему изучению технической стороны запланированной на 11 октября 2018 года смены ключа KSK и новым усилиям по оповещению тех членов интернет-сообщества, от кого зависит правильная настройка систем подтверждения DNS-запросов, лишь небольшое количество интернет-пользователей может столкнуться со сложностями при доступе к интернет-ресурсам в результате замены ключа╩, ? сказала Куликова.

Фото: Александр Рюмин / ТАСС

Как пояснил РБК Владимир Иванов (бывший замруководителя департамента эксплуатации ╚Яндекса╩ и бывший руководитель ИТ-департамента интернет-магазина Lamoda), небольшие интернет-провайдеры могли включить себе проверку DNSSEC много лет назад, но не обратили внимание на то, что сейчас необходимо было поменять ключи. ╚Если сильно не повезет, могут сломаться базовые функции, такие как синхронизация времени. В этом случае ╚сломается╩ очень многое, но это все невидимо для людей. У людей просто ╚не будет работать интернет╩, ? объясняет Иванов. Из материалов ICANN следует, что даже если ключи были обновлены большинством интернет-провайдеров, из-за тех, кто этого не сделал, может временно понижаться пропускная способность соединений, а вместе с ней и скорость работы в Сети.

По словам Дмитрия Буркова, одного из криптографических офицеров ICANN, отобранных из мирового интернет-сообщества и исполняющих функции внешних советников и аудиторов, смена ключей KSK планируется последние четыре года. ╚Вряд ли мы увидим, что смена ключей пройдет без ошибок, так как определенная доля DNS-программ не способна распознать новые ключи, потому что ПО устарело. По той же причине 0,04% серверов, передающих запросы от пользователя, могут неправильно отреагировать на ключ╩, ? считает Бурков. Он также указал, что более удобным было бы иное устройство защитной системы ? с ключами, которые генерировались бы регулярно, а существующее решение было выбрано под давлением определенной части правления корпорации. ╚Ошибки при смене ключей отразились бы скорее не на пользователях, а на репутации ICANN╩, ? заключил Бурков.

Готовы ли российские интернет-провайдеры?

╚Существуют процедуры, по которым ключевая информация по администрируемым нами доменам своевременно заменяется, ? мы следуем этим процедурам, и все должно произойти незаметно для всех пользователей. Фактически речь идет лишь об установке нами обновления соответствующего программного обеспечения╩, ? отметил исполнительный вице-президент по взаимодействию с органами исполнительной власти ╚ВымпелКома╩ Михаил Якушев (в 2014?2017 годах был вице-президентом ICANN по России, СНГ и Восточной Европе).

Готовы к смене ключей и в МТС. Вопросы о сложностях при проведении операции и после нее, по словам представителя этой компании, необходимо адресовать в ICANN. Не ожидает проблем в своей сети и представитель ╚Ростелекома╩. В пресс-службе ╚МегаФона╩ ответили, что ╚изменения не затронут функционирование сервисов компании╩. Другие крупные интернет-провайдеры либо не ответили на вопросы РБК, либо связаться с ними не удалось.



Как работает интернет

Каждое устройство, подключенное к Глобальной сети (серверы, интернет-сервисы, пользовательские устройства и т.д.), использует IP-адрес, по которому его можно найти. Поиск осуществляется с помощью Domain Name System (DNS, англ. ? системы доменных имен) ? компьютерной распределенной системы для получения информации о доменах. Но числовой IP-адрес сложен для восприятия человеком, поэтому он переведен в доменное имя. Благодаря DNS мы можем зайти в браузер и написать в строке конкретный URL (rbc.ru). Система сама переведет его для компьютера в IP-адрес и пришлет ответ в виде открывающейся страницы сайта на запрос пользователя.

DNS поддерживается с помощью иерархии DNS-серверов, взаимодействующих по определенному протоколу и работающих по принципу ╚язык до Киева доведет╩. Существует два типа серверов: авторитетные (сами отвечают за зону) и рекурсивные (выполняют от имени клиента полный поиск нужной информации во всей системе DNS, при необходимости обращаясь к другим DNS-серверам). К авторитетным серверам относятся корневые серверы (root servers) ? те, которые имеют информацию о корневой зоне, то есть могут ответить, кто знает про зону ╚ru╩. Серверы зоны ╚ru╩ могут ответить, какие серверы знают, например, про зону ╚rbc.ru╩. Серверы зоны ╚rbc.ru╩ могут сказать, что у rbc.ru вот такой IP-адрес.


Автор: Евгения Баленко.
При участии: Филипп Алексенко.
Теги: ICANN , DNS-сервер , киберзащита , Рунет
https://www.rbc.ru/technology_and_media/06/09/2018/5b8fd0849a794729044457db?from=main



С уважением. Anton aka Stalker

Linux Registered User #386476
[#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
--- GoldED+/LNX 1.1.5-b20160322
* Origin: Ave, Caesar, morturi te salutant (2:5059/37)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.SAN_IZONE?msgid=2:5059/37@FidoNet+5b90e901