Сегодня Интернет-корпорация по присвоению имен и номеров (ICANN) объявила о том, что приведение в действие Плана изменения криптографического ключа который используется для защиты системы доменных имен (DNS), откладывается.
Смена - или «обновление» - ключа KSK была изначально запланирована на 11 октября, но эта дата переносится, потому что недавно полученные данные показывают, что значительное количество резолверов, которыми пользуются интернет-провайдеры и сетевые операторы, к ней еще не готовы.
Причин того, почему новый ключ еще не установлен в системах у операторов может быть множество: у некоторых установлена неправильная конфигурация программного обеспечения резолверов; кроме того, недавно была выявлена еще одна проблема - одна из распространенных программ резолверов не обновляет ключ автоматически, как должна - причины выясняются.
«Наша основополагающая миссия - обеспечение безопасности, стабильности и отказоустойчивости системы доменных имен. Мы предпочитаем действовать аккуратно и осмотрительно, чем сменять ключ 11 октября», - заявил Йоран Марби (Göran Marby), генеральный директор ICANN. «Раз мы выявили эти новые проблемы, было бы безответственно провести смену ключа, так как это может создать неудобства для конечных пользователей».
Изменение ключа подразумевает создание новой пары криптографических ключей и распространение нового открытого компонента ключа среди резолверов, осуществляющих валидацию DNSSEC (DNSSEC - расширения безопасности системы доменных имен). Если посмотреть на предполагаемое количество интернет-пользователей, которые используют резолверы, осуществляющие валидацию DNSSEC, изменение KSK может затронуть приблизительно четверть интернет-пользователей мира или 750 миллионов человек.
ICANN обращается к своему сообществу, включая Консультативный комитет по безопасности и стабильности, региональные интернет-регистратуры, группы сетевых операторов и других, за помощью в изучении и разрешении этих проблем.
Новая дата обновления ключа еще не определена. Офис технического директора ICANN сообщил, что обновление ключа предварительно планируется перенести на первый квартал 2018 года, но что окончательное решение будет зависеть от достижения более полного понимания новой информации и возможностей снижения риска возникновения как можно большего количества потенциальных неисправностей. ICANN уверена в защищенности текущего криптографического ключа и, соответственно, в безопасности DNS.
ICANN будет предоставлять дополнительную информацию по мере ее поступления, а о новой дате обновления ключа будет объявлено отдельно.
«Мы надеемся, что сетевые операторы воспользуются этим дополнительным временем, чтобы проверить готовность своих систем к обновлению ключа», -- сказал Марби. «Наша испытательная платформа (http://go.icann.org/KSKtest) призвана помочь операторам проверить, что их резолверы настроены правильным образом на новый ключ, а мы будем продолжать нашу работу по взаимодействию и информированию этих операторов».
О DNSSEC
Для легкого определения ресурсов в интернете базовые числовые адреса для этих ресурсов отображаются строками, которые способен прочесть человек. Превращением этих строк в номера занимается распределенная иерархическая система доменных имен (DNS). Произошедший с момента ее изобретения в 1983 году прогресс в областях программирования и сетей сделал эту «телефонную книгу» уязвимой. В ответ на эти угрозы международная организация по стандартизации, IETF, разработала DNSSEC для того, чтобы защитить данные DNS от скрытых изменений криптографическими методами. В полностью развернутом виде DNSSEC не позволяет взломщику перенаправить пользователей при помощи DNS.
##
Информация обо всем, что связано с обновлением ключа доступна здесь: https://www.icann.org/resources/pages/ksk-rollover
Социальные медиа: #Keyroll
###
Контакты для прессы
Брад Уайт (Brad White)
директор по связям с общественностью, Северная Америка
Вашингтон, округ Колумбия
Тел.: +1 202 570 7118
Адрес электронной почты: brad.white@icann.org
Джеймс Коул (James Cole)
координатор по связям с глобальными СМИ
Вашингтон, округ Колумбия
Тел.: +1 202 733 7598
Адрес электронной почты: james.cole@icann.org
О корпорации ICANN
Миссия ICANN – обеспечение стабильного, безопасного и единого глобального интернета. Для того, чтобы связаться с кем-нибудь в интернете, в компьютер необходимо ввести адрес – имя или номер. Этот адрес должен быть уникальным, чтобы компьютеры могли друг друга находить. ICANN занимается координацией этих уникальных идентификаторов во всем мире. ICANN была сформирована в 1998 году в качестве некоммерческой общественной корпорации и сообщества участников со всего мира. ICANN и ее сообщество содействуют обеспечению безопасности, стабильности и функциональной совместимости интернета. Организация также поддерживает конкуренцию и разрабатывает политику для верхнего уровня системы присвоения имен интернета и оказывает содействие в использовании других уникальных идентификаторов интернета. Дополнительная информация доступна по адресу www.icann.org.