Корпорация по управлению доменными именами и IP–адресами, ICANN, предупреждает о возможных перебоях в работе глобальной сети из–за обновления ключа шифрования запросов к серверам разрешения имён по протоколу DNSSEC, об этом сообщается в пресс–релизе ICANN.
Ключи шифрования протокола DNSSEC обновляются впервые с момента запуска системы 15 июля 2010 года, когда была подписана корневая зона, иногда именуемая «точкой», то есть зона, стоящая над доменами верхнего уровня, такими как .com., .ru., .org., .net. и другими (в интерфейсах браузеров замыкающая точка обычно опускается). Решение о перевыпуске «ключа подписи ключей», Key Signing Key или KSK, для корневой зоны несколько раз откладывалось, изначально планировалось, что корневая зона в целях безопасности будет заново подписываться каждые пять лет — первая замена ключа была запланирована на 2015 год. Опасения корпорации ICANN вызваны тем, что не все серверы DSN с поддержкой DNSSEC переключатся на использование нового ключа шифрования: единожды сконфигурированные серверы всё это время могли работать корректно, но их владельцы могли не учесть возможность обновления KSK.
Простой сервис настройки DNSSEC для владельцев доменов из российского сегмента, то есть в зонах ru, «рф» и su, предоставляют только три регистратора, которые также владеют и собственными серверами DNS: nic.ru, reg.ru и webnames.ru. Пока особой популярностью протокол не пользуется: из 5,6 млн российских доменов, по статистике регулирующего российские зоны «Координационного центра», число доменов с поддержкой DNSSEC на сентябрь 2018 года не превысило 3 000 штук, хотя в их число входят наиболее крупные и популярные ресурсы рунета. В тоже время наиболее популярный среди владельцев российских доменов сервис «Яндекс Коннект» не поддерживает DNSSEC, хотя «Яндекс.DNS» для домашних пользователей поддержку безопасного протокола обеспечивает. В глобальном доменном пространстве доменов, работающих по DNSSEC, на порядки больше: по данным statdns, из 135 млн доменов в одной только зоне com доменных имён с DNSSEC почти миллион.
В комментариях UPgrade все три российских регистратора, поддерживающих DNSSEC, заявили о том, что готовы к смене KSK, в настоящий момент они работают со старым ключом в активном режиме, а с новым ключом, открытая часть которого была опубликована ICANN ещё 11 сентября 2017 года, — в пассивном режиме. По команде ICANN регистраторы готовы поменять статус ключей и не ожидают сбоев. Крупнейшие держатели собственных серверов разрешения доменных имён не из числа регистраторов, «Ростелеком», «Мегафон», «Билайн» и МТС, в комментариях РБК заявили, что также готовы к смене ключа. Однако приведёт ли смена KSK к сбоям у владельцев менее крупных серверов DNS, например, у провайдеров в небольших городах, предугадать невозможно, хотя корпорация ICANN активно работает с техническими администраторами провайдеров, операторами связи и другими компаниями, работающими с интернет–инфраструктурой напрямую.
Служба DNS или Domain Name System была разработана практически одновременно с введением доменов в 1980–х годах. При обращении к доменному имени (например, upweek.ru) через службу DNS интернет–провайдер находит IP–адрес (например, 87.236.16.85), соответствующий доменному имени. Владельцы доменов указывают на собственных DNS–серверах (например, ns1.beget.com) так называемые «ресурсные записи» (например, * A 87.236.16.85). Другие серверы DNS через некоторое время копируют эти записи и создают из них кэш, чтобы каждый раз не обращаться к исходному серверу. До введения DNSSEC серверы DNS безоговорочно доверяли информации друг друга, что делало их уязвимыми перед попытками злоумышленников «отравить кэш», то есть предоставить «доверчивому» серверу DNS запись с подменой IP–адреса на адрес злоумышленника. Таким образом посетители крупных ресурсов, онлайн–банков, социальных сетей, поисковых служб и прочих сайтов могли быть перенаправлены на поддельный ресурс.
Чтобы исключить отравление кэша DNS и другие угрозы были разработаны «расширения безопасности DNS», DNS Security Extensions или DNSSEC. Внедрение расширенного протокола замедлялось из–за его требовательности к вычислительным мощностям серверов и высокой нагрузки на сети. Упрощённый протокол DNSSEC–bis с обратной совместимостью с системой DNS ввёл в действие каскад не столь требовательных к вычислениям электронных сертификатов от корневой зоны до индивидуальных доменов, которые DNS–серверы могли бы на лету проверять на подлинность при каждом запросе. KSK корневой зоны требует периодического обновления: созданный в 2010 году 1024–битный ключ KSK–2010 в 2017 году был усложнён до 2048–битного KSK–2017 в ответ на повышение мировых вычислительных мощностей, которых могло бы хватить для подбора шифра.
