Что происходит?

DNS — компьютерная распределенная система для получения информации о доменах. Именно она позволяет ввести в строку браузера текстовый URL-адрес сайта (например, TUT.BY) и соединиться с необходимым IP-адресом (например, 178.172.160.4).

«Протоколы DNS, как и многие другие технологии, разрабатывались много лет назад без соображений о безопасности. Поэтому некоторое время назад был создан протокол DNSSEC. Это так называемое расширение системы безопасности доменных имен, которое позволяет обеспечить целостность DNS данных, — рассказывала Александра Куликова, руководитель ICANN по работе со странами Восточной Европы и Средней Азии.

Эта система по сути является криптографическим подписанием данных корневой зоны. Она создавалась более десяти лет назад. То, о чем мы говорим сегодня, — обновление ключа для подписания ключей (Key Signing Key). Это, по большому счету, смена главного ключа, который позволяет обеспечить цепочку доверия, которая подтверждает истинность данных при разрешении доменных имен. <…> Это происходит не потому, что система каким-то образом была скомпрометирована, а просто потому что так логично и правильно делать».

У меня сломается интернет?

Обновление начнется 11 октября в 19.00 по минскому времени. ICANN заранее предупреждала о возможных перебоях в работе мирового интернета после этого момента. По оценкам организации, более 99% пользователей не заметят обновления. Однако некоторые могут столкнуться с трудностями в ближайшие двое суток.

«Теоретически неподготовленность систем к смене ключа может обернуться тем, что вы, захотев зайти на ресурс, просто не сможете открыть страницу — будет выдаваться ошибка, — объясняла Александра Куликова. — Почему? Возможно, ваш интернет-провайдер, оператор сети не настроил валидацию нового ключа, чтобы система признавала его как доверенный ключ. Для этого мы общаемся с представителями технического сообщества. Во-первых, можно вручную взять новый ключ и использовать его для перенастройки системы. Во-вторых, многие провадеры используют программное обеспение, которое уже имеет возможность автоматически обновлять ключ».

Как понять, что проблема затронула именно вас?

«Если в конфигурации якоря доверия резолвера не указан новый KSK, то в течение 48 часов после завершения обновления ключа пользователи начнут получать сообщения о невозможности разрешить имя (обычно в форме ошибок типа „server failure“ или SERVFAIL)», — говорится в сообщении ICANN.

«Я думаю, что в конечном итоге пользователи не должны пострадать, — считает Александра Куликова. — Мы делаем все для оповещения. Так или иначе, если у какого-то отдельно взятого пользователя возникают вопросы или сомнения по поводу того, настроены ли его домашние или корпоративные интернет-ресурсы для того, чтобы смена ключа прошла без ошибок, можно просто обратиться к своему интернет-провайдеру и задать вопрос».

Поделиться
Комментарии