В четверг стартует первая масштабная смена криптографических ключей для всего мирового интернета с 2010 года под контролем Корпорации по управлению доменными именами и IP-адресами (ICANN). Обновление будет проходить в течение двух суток, и хотя все провайдеры уже должны были подготовиться к процессу, эксперты не исключают сбои в работе Всемирной паутины в течение ближайших 48 часов.
Процедура, которая может лишить некоторых пользователей доступа в сеть, называется «обновление ключа для подписания ключей (KSK)». Она подразумевает смену криптографических ключей, защищающих доменные имена интернета (DNS). Этот процесс будет запущен 11 октября в 19:00 по московскому времени.
«Это важный шаг, и мы обязаны проследить, чтобы он способствовал дальнейшей миссии ICANN, которая заключается в обеспечении надежности, стабильности и стойкости DNS. Нельзя точно быть уверенным, что каждый провайдер успеет правильно настроить резолверы [набор подпрограмм, предоставляющих доступ к системе доменных имен — «Газета.Ru»], но если все пойдет так, как мы задумали, то большинство пользователей не потеряет доступ к сети», — заявил председатель совета Шерин Шалаби.
Речь идет о тех провайдерах, которые не смогли вовремя обновить свои системы, несмотря на предупреждение.
Если это произойдет, то пользователи начнут испытывать различные проблемы с доступом к интернету — например, в браузерах перестанут открываться веб-сайты или загружаться изображения, а электронная почта прекратит принимать новые сообщения или начнет некорректно отображать уже полученные письма.
«Исследование показывает, что есть тысячи операторов, которые включили DNSSEC [набор расширений для протокола DNS, использующий криптографию с открытым ключом — «Газета.Ru»], и около четверти всех интернет-пользователей пользуются услугами этих операторов. Можно сказать практически однозначно, что во всем мире найдутся несколько провайдеров, которые будут не готовы к смене. Но, даже в самом худшем случае, чтобы справиться с проблемой им достаточно отключить DNSSEC, установить новый ключ и снова включить DNSSEC, тогда у пользователей снова появится доступ к сети», — прокомментировал главный технический директор ICANN Дэвид Конрад.
Смена ключей является необходимой процедурой в том же смысле, что и регулярная смена паролей к аккаунтам. В сегодняшнем случае обновление должно было произойти еще год назад, но было перенесено из-за потенциальной неготовности многих провайдеров.
По словам вице-президента по разработкам ICANN Мэтта Ларсона, это первая смена ключей подобного рода, но точно не последняя.
«Мы делаем это впервые, поэтому стараемся изо всех сил, чтобы все прошло максимально гладко. Но, когда в будущем мы будем проводить эту процедуру чаще, провайдеры и операторы постепенно привыкнут к такой практике».
Когда ICANN предупредила о скорой смене криптографических ключей, «Газета.Ru» пообщалась с некоторыми экспертами в IT-области, чтобы узнать о возможных последствиях для мирового интернета.
«Процедура по замене планировалась еще несколько лет назад, но ее пришлось отложить из-за низкой готовности провайдеров. Теперь они готовы лучше, но невзирая на это могут произойти перебои в работе серверов, особенно у малых операторов связи, а следовательно, и проблемы с доступом к сайтам», — заявил руководитель аналитического подразделения по информационной безопасности ООО «ТСС» Илья Шарапов.
Специалист отдела технического сопровождения продуктов и сервисов ESET Russia Борис Соболев сообщил о том, что проблем у крупных провайдеров и операторов ждать не приходится.
«Большинство игроков уже дали комментарии о готовности к этой дате и пояснили, что конечные пользователи не заметят изменений. Не исключаем возникновение некоторых затруднений у провайдеров, которые не позаботились заблаговременно об обновлении соответствующего программного обеспечения. Но такие проблемы вряд ли будут носить массовый характер», — рассказал собеседник «Газеты.Ru».
Руководитель направления информационной безопасности КРОК Андрей Заикин также считает, что глобального кибер-апокалипсиса удастся избежать.
«Глобальной модернизации не ожидается. Операторам необходимо установить у себя новый открытый ключ, который будет использоваться для проверки подлинности ответов на DNS-запрос. Этот ключ будет доступен им заранее, поэтому ждать каких-то плачевных последствий не стоит», — отметил эксперт.