ICANN рассказала об итогах замены ключей в мировом интернете
Корпорация по управлению доменными именами и IP-адресами (ICANN) впервые рассказала о деталях смены ключей шифрования для расширения, защищающего интернет-адреса от хакерских атак. Замена ключей проводилась первый раз в истории 11 октября. Незадолго до этой даты ICANN предупредила — в работе мировой Сети могут возникнуть проблемы, если не все интернет-провайдеры проведут обновления.
Замена прошла без каких-либо серьезных сбоев, сообщила глава по глобальному взаимодействию с заинтересованными сторонами в Восточной Европе и Центральной Азии ICANN Александра Куликова, выступая на третьем Восточноевропейском DNS-форуме во вторник, 4 декабря. «Все состоялось довольно благополучно с учетом ранее ожидаемых сбоев, и нам не очень понятно почему», — призналась она, передает РБК.
DNS — компьютерная распределенная система для получения информации о доменах. Именно она позволяет ввести в строку браузера текстовый URL-адрес сайта (например, TUT.BY) и соединиться с необходимым IP-адресом (например, 178.172.160.4).
11 октября началось обновление ключа для подписания ключей (Key Signing Key). Этопо большому счету смена главного ключа, который позволяет обеспечить цепочку доверия, которая подтверждает истинность данных при разрешении доменных имен".
Как сообщила Александра Куликова, количество сообщений о сбоях в работе провайдеров было небольшим (менее десяти), они были получены через неформальные каналы (Twitter, e-mail рассылки и форумы). «Судя по всему, они были устранены без особых проблем. Напрямую к ICANN обращений не поступало», — отметила Куликова. В ICANN также «отследили две публикации в СМИ», в которых говорилось о сбоях в работе провайдеров из Ирландии (Eir) и США (Consolidated Communication), однако неясно, связаны ли эти сбои именно с заменой ключей.
Благополучность перехода в ICANN объяснить пока не могут. «Это может говорить о недостаточности данных для их интерпретации. Мы продолжаем анализ события вместе с техническим сообществом», — отметила Куликова. По ее словам, количество запросов на новые ключи возросло в момент их смены, но даже сейчас остается относительно высоким. «Вопрос состоит в том, почему количество запросов не падает. Есть подозрение, что существует какое-то количество серверов, которым не удается сверить ключи и соединиться, и они автоматически заново отправляют запросы. Это один из нерешенных вопросов сейчас», — пояснила Куликова.
По словам директора Координационного центра доменов.RU/.РФ Андрея Воробьева, «возможно, были какие-то перебои, например, могла не с первого раза запуститься страница, но пользователи списывали их на что-то другое — на потерю сигнала, например». Современные системы разветвленные — это особенность архитектуры, они многократно дублируют сами себя, и одна часть может подстраховать другую, пояснил Воробьев. «О внутренней жизни сети может знать только сам оператор», — отметил он.
Как пояснил РБК руководитель проектов DNS Центра взаимодействия компьютерных сетей «МСК-IX» Павел Храмцов, скорее всего, провайдеры отключили проверку через DNSSEC, поэтому клиенты просто не заметили никаких проблем. «Конечный клиент все равно всегда получает ответ от оператора и попадает на нужную ему страницу, соответственно, никто не жалуется. Если бы проверкой достоверности полученных из системы DNS данных занимался сам конечный клиент, то тогда он бы сам мог столкнуться с проблемой», — сказал Храмцов. Зачастую архитектура сетей операторов устроена очень сложно, поэтому любые изменения настроек требуют длительной работы инженеров и тестирования — это сложная задача, пояснил Воробьев.