-
добавить в избранное
Сломается ли Интернет?
2 октября 2018
Заголовок одной из недавних новостей метил не в бровь, а в глаз:
Первая в истории смена ключей приведет к глобальному сбою в Интернете
Правда, сам текст новости содержит немного иную информацию: «небольшой процент интернет-пользователей испытает сложности при разрешении доменных имен».
Тем не менее проблемы действительно возможны. Так что нелишним будет понять, что происходит и почему.
Для начала напомним о протоколе DNS (Domain Name System) – мы уже писали о нем в связи с хакерами. Вот одна лишь цитата:
Когда в браузере он набирает адрес сайта, то первый запрос идёт не на сервер, где сайт находится, первый запрос идёт на DNS-сервер, чтобы получить IP-адрес для данного домена. DNS-запросы не шифруются, поэтому только слушая DNS-трафик, можно составить историю, какие ресурсы Степан посещал, и по IP-адресу DNS-сервера можно определить даже, где он приблизительно находился в это время.
Дело в том, что адрес любого интернет-ресурса – это набор символов, не ассоциирующихся у обычных пользователей ни с чем. Это чисто техническая информация. Пользователи при обращении к сайтам используют осмысленные названия. Скажем, если мы набираем в браузере www.drweb.ru, то на самом деле обращение пойдет по адресу 178.248.232.183. И это еще простой и короткий набор символов! Поэтому был придуман специальный протокол – DNS. Когда вы вводите название домена (причем необязательно в браузере), с помощью этого протокола происходит запрос к специальным DNS-серверам, которые выдают цифровое имя ресурса.
И, как было верно отмечено в цитате выше, протокол DNS – старый и не поддерживает шифрование. В результате злоумышленники (или правоохранительные органы) могут перехватить обращение к DNS-серверам (например, атакой «человек посередине» ), и пользователь попадет на другой сервер. Где его уже будут ждать…
Какой бы защищенный сайт ни был, если он включает внешний ресурс, то браузер пользователя можно обмануть и сказать, что сервер с ресурсом находится в другом месте (спуф DNS), что он доверенный (подкладывание сертификата), и далее, собственно, можно отдать любой скрипт (мой вариант отсылал мне все нажатия клавиш на странице).
Как правило, для защиты передаваемых данных рекомендуют использование VPN-каналов – специальных сервисов, обеспечивающих шифрование данных во время их передачи. Но вот беда:
Специалисты проанализировали 15 VPN-сервисов, в результате чего выяснили, что 10 из них допускают DNS-утечки через соответствующие расширения для браузера Chrome.
Поэтому в 2010 году ICANN (корпорация по управлению доменными и IP-адресами), Verisign и NTIA ввели в строй расширение DNS – протокол DNS Security (DNSSEC).
DNSSEC выступает таким глобальным распределенным автоматизированным нотариусом, который подтверждает оператору, что адрес, который он узнал для своего клиента, верен.
Для обеспечения безопасности в DNSSEC используются криптографические ключи. В связи с риском их утечки они требуют периодической смены. Что, собственно, и будет произведено.
Обновление ... означает создание новой пары криптографических ключей – открытого и закрытого – и распространение нового открытого компонента среди сторон, которые управляют распознавателями с функцией проверки подлинности. Это, например, интернет-провайдеры, администраторы сетей, разработчики программного обеспечения для распознавателей DNS, системные интеграторы и т.п.
При этом не нужно думать, что процедура – одномоментная: новый ключ уже опубликован в описании корневых зон DNS с 11 июля 2017 года, а старый ключ будет отозван в январе 2018 года. При этом замена ключа будет касаться не всех серверов DNS, а только самых главных (что еще сильнее снижает риск того, что с проблемами столкнутся простые пользователи).
Ротация не затрагивает авторитативные серверы доменных зон (за исключением корневых). Национальные домены .RU/.РФ и другие доменные зоны продолжают работать в соответствии со стандартными процедурами DNSSEC.
Работа по замене ключей началась 4 года назад, однако «небольшие интернет-провайдеры могли включить себе проверку DNSSEC много лет назад, но не обратили внимание на то, что сейчас необходимо было поменять ключи».
Антивирусная правДА! рекомендует
- Скорее всего, у большинства пользователей проблем не будет.
- Если уж ICANN меняет ключи, то менять свои пароли периодически не вредно и обычным пользователям.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Ш...ч
19:35:09 2018-10-29
a13x
16:48:40 2018-10-10
zsergey
07:54:17 2018-10-05
b_ice
18:34:21 2018-10-03
TV
15:14:42 2018-10-03
Sasha50
23:15:36 2018-10-02
Littlefish
22:44:59 2018-10-02
Littlefish
22:38:32 2018-10-02
По идее должен быть запрос К специальным серверам, запрос к чему.
МЕДВЕДЬ
22:33:53 2018-10-02
В...а
22:31:49 2018-10-02
razgen
22:23:53 2018-10-02
Не факт, что при смене, новый пароль окажется более надёжен, чем старый.
Александр
22:23:23 2018-10-02
Dvakota
22:21:37 2018-10-02
Lia00
22:11:42 2018-10-02
vla_va
21:54:39 2018-10-02
Alex_1774
21:34:37 2018-10-02
orw_mikle
21:29:10 2018-10-02
Дмитрий
21:24:24 2018-10-02
kva-kva
21:18:32 2018-10-02
Геральт
21:15:58 2018-10-02
mk.insta
20:59:14 2018-10-02
Andromeda
20:36:12 2018-10-02
Альфа
20:25:55 2018-10-02
Шалтай Александр Болтай
20:11:07 2018-10-02
Сергей
20:06:58 2018-10-02
I46
20:02:58 2018-10-02
Toma
19:13:17 2018-10-02
Влад
19:04:14 2018-10-02
Происходить это будет по причине временных сбоев при преобразовании доменного имени в IP-адрес. Затронувшие обновление ключей адреса ВРЕМЕННО будут недоступны.
Татьяна
16:56:26 2018-10-02
Damir
16:46:31 2018-10-02
La folle
16:18:42 2018-10-02
Любитель пляжного футбола
15:29:11 2018-10-02
А то что интернет будет, это здорово! :)
Masha
14:56:23 2018-10-02
anatol
14:42:00 2018-10-02
Biggurza
14:13:35 2018-10-02
Ключи, логины, Вечный Рим…
А вот кого снесет волною,
Мы это после поглядим.
История не учит бреду,
И на «Авось» не стоит уповать.
А коли ложка дорога к обеду,
То надо вовремя ключи менять.
Vlad
14:01:47 2018-10-02
DrKV
14:00:04 2018-10-02
Не-е-е-е, эту игрушку ломать нельзя! ))
razgen
13:51:39 2018-10-02
Понятно, что не исключено, что у какой-то, вероятно незначительной части пользователей могут возникнуть проблемы.
А вот существуют ли причины зависящие от действий или бездействий непосредственно самого пользователя чтобы он не попал в эту группу пользователей для которых имеется вероятность указанных проблем, мне не совсем понятно.
Rinat_64
13:36:44 2018-10-02
Dmur
13:23:21 2018-10-02
marisha-san
13:21:59 2018-10-02
Natalya_2017
11:50:18 2018-10-02
vinnetou
11:27:36 2018-10-02
sanek-xf
11:25:37 2018-10-02
eaglebuk
11:12:57 2018-10-02
Alexander
11:00:17 2018-10-02
И рекомендация-напоминание справедливое, - не плохо и нам провести ревизию и поменять кое-где установленные нами (или не нами) пароли.
P.S. Показалось, что в статье два абзаца о VPN как бы из другой темы.
EvgenyZ
10:15:47 2018-10-02
Александр
10:09:01 2018-10-02
Oleg
10:01:18 2018-10-02
Денисенко Павел Андреевич
10:00:41 2018-10-02