ICANN обновила ключи безопасности

Состоялась первая в истории замена ключей шифрования для расширения, защищающего интернет-адреса от хакерских атак. Перед операцией корпорация по управлению доменными именами и IP-адресами ICANN предупреждала о возможных сбоях.

Корпорация по управлению доменными именами и IP-адресами (ICANN) провела обновление ключей шифрования, служащих защитой для системы доменных имен (DNS, Domain Name System) интернета.

Замена криптографических ключей (Key Signing Key, KSK) прошла в 19:00 по московскому времени 11 октября 2018 года.

ICANN контролирует работу корневой зоны системы доменных имен. В обязанности корпорации, помимо прочего, входит обеспечение безопасности системы адресации — соединения пользователя с той страницей в интернете, на которую он хочет попасть путем преобразования имени ресурса в числовой IP-адрес, например, rbc.ru — в 80.68.253.13. Для защиты пользователей интернета от возможной вредоносной активности хакеров — когда в процессе перехода на страницу один адрес назначения заменяется на неправильный, и пользователь попадает на сервер злоумышленников — ICANN в 2010 году ввела специальной расширение безопасности DNS Security (DNSSEC). Это расширение работает как подтверждающий механизм, удостоверяющийся в правильности адреса, который запросил пользователь. Для осуществления такой проверки и необходимы ключи — с их помощью интернет-провайдеры, администраторы сетей, разработчики программного обеспечения для распознавателей DNS, системные интеграторы и другие причастные к работе DNS подтверждают подлинность адреса.

Замена криптографических ключей затронет только тех пользователей, чьи операторы используют расширение безопасности DNSSEC, ранее отмечала глава по глобальному взаимодействию с заинтересованными сторонами в Восточной Европе и Центральной Азии ICANN Александра Куликова. По данным 2017 года, это примерно четверть всех пользователей интернета в мире — около 750 млн человек. У большинства крупных операторов установлено DNSSEC.​

С 21 августа по 14 сентября 2018 года ICANN проводила опрос о готовности к смене ключей среди операторов. Всего корпорация пригласила к участию в опросе 16 тыс. операторов, использующих DNSSEC. Однако откликнулись немногие — 4%. Тем не менее, согласно сообщению на официальном сайте корпорации, большинство ответивших на запрос ICANN уже были готовы к обновлению ключей. Неподготовленные операторы в основном сообщали о том, что еще завершат все необходимые процедуры до 11 октября. Только два оператора из опрошенных заявили, что если произойдет сбой, они прекратят использовать DNSSEC вообще.

В ICANN ожидают, что крупнейшие игроки готовы к смене ключей, говорила Куликова.

Ключи появились в 2010 году, тогда ICANN взяла на себя обязательство менять их «при необходимости или по истечении пяти лет работы». И хотя срок истек в 2015 году, нынешняя смена ключей будет первой в истории ICANN. Изначально переход был назначен на 11 октября 2017 года, однако тогда исследования показали, что большинство интернет-провайдеров не были готовы к процедуре. По словам Куликовой, несмотря на то что ключ ни разу не был скомпрометирован с момента своего введения, «замена ключей, как и паролей, — это хорошая практика криптографической «гигиены», поэтому был разработан подробный план подготовки и осуществления смены ключа в штатных условиях», что сейчас и происходит.

Евгения Баленко

Тематики: Интернет, Web, Безопасность

Ключевые слова: Интернет, информационная безопасность, веб, домен