Вы используете устаревший браузер!

Страница может отображаться некорректно.

Информация к размышлению

Информация к размышлению

Другие выпуски этой рубрики (8)
  • добавить в избранное
    Добавить в закладки

Сломается ли Интернет?

Прочитали: 1516 Комментариев: 81 Рейтинг: 93

Заголовок одной из недавних новостей метил не в бровь, а в глаз:

Первая в истории смена ключей приведет к глобальному сбою в Интернете

https://www.dp.ru/a/2018/09/06/Pervaja_v_istorii_smena_kl

Правда, сам текст новости содержит немного иную информацию: «небольшой процент интернет-пользователей испытает сложности при разрешении доменных имен».

Тем не менее проблемы действительно возможны. Так что нелишним будет понять, что происходит и почему.

Для начала напомним о протоколе DNS (Domain Name System) – мы уже писали о нем в связи с хакерами. Вот одна лишь цитата:

Когда в браузере он набирает адрес сайта, то первый запрос идёт не на сервер, где сайт находится, первый запрос идёт на DNS-сервер, чтобы получить IP-адрес для данного домена. DNS-запросы не шифруются, поэтому только слушая DNS-трафик, можно составить историю, какие ресурсы Степан посещал, и по IP-адресу DNS-сервера можно определить даже, где он приблизительно находился в это время.

https://www.drweb.ru/pravda/issue/?number=553&lng=ru

Дело в том, что адрес любого интернет-ресурса – это набор символов, не ассоциирующихся у обычных пользователей ни с чем. Это чисто техническая информация. Пользователи при обращении к сайтам используют осмысленные названия. Скажем, если мы набираем в браузере www.drweb.ru, то на самом деле обращение пойдет по адресу 178.248.232.183. И это еще простой и короткий набор символов! Поэтому был придуман специальный протокол – DNS. Когда вы вводите название домена (причем необязательно в браузере), с помощью этого протокола происходит запрос к специальным DNS-серверам, которые выдают цифровое имя ресурса.

И, как было верно отмечено в цитате выше, протокол DNS – старый и не поддерживает шифрование. В результате злоумышленники (или правоохранительные органы) могут перехватить обращение к DNS-серверам (например, атакой «человек посередине» ), и пользователь попадет на другой сервер. Где его уже будут ждать…

Какой бы защищенный сайт ни был, если он включает внешний ресурс, то браузер пользователя можно обмануть и сказать, что сервер с ресурсом находится в другом месте (спуф DNS), что он доверенный (подкладывание сертификата), и далее, собственно, можно отдать любой скрипт (мой вариант отсылал мне все нажатия клавиш на странице).

https://www.drweb.ru/pravda/issue/?number=433&lng=ru

Как правило, для защиты передаваемых данных рекомендуют использование VPN-каналов – специальных сервисов, обеспечивающих шифрование данных во время их передачи. Но вот беда:

Специалисты проанализировали 15 VPN-сервисов, в результате чего выяснили, что 10 из них допускают DNS-утечки через соответствующие расширения для браузера Chrome.

https://www.drweb.ru/pravda/issue/?number=531&lng=ru

Поэтому в 2010 году ICANN (корпорация по управлению доменными и IP-адресами), Verisign и NTIA ввели в строй расширение DNS – протокол DNS Security (DNSSEC).

DNSSEC выступает таким глобальным распределенным автоматизированным нотариусом, который подтверждает оператору, что адрес, который он узнал для своего клиента, верен.

https://www.rbc.ru/technology_and_media/06/09/2018/

Для обеспечения безопасности в DNSSEC используются криптографические ключи. В связи с риском их утечки они требуют периодической смены. Что, собственно, и будет произведено.

Обновление ... означает создание новой пары криптографических ключей – открытого и закрытого – и распространение нового открытого компонента среди сторон, которые управляют распознавателями с функцией проверки подлинности. Это, например, интернет-провайдеры, администраторы сетей, разработчики программного обеспечения для распознавателей DNS, системные интеграторы и т.п.

https://www.rbc.ru/technology_and_media/06/09/2018/

При этом не нужно думать, что процедура – одномоментная: новый ключ уже опубликован в описании корневых зон DNS с 11 июля 2017 года, а старый ключ будет отозван в январе 2018 года. При этом замена ключа будет касаться не всех серверов DNS, а только самых главных (что еще сильнее снижает риск того, что с проблемами столкнутся простые пользователи).

Ротация не затрагивает авторитативные серверы доменных зон (за исключением корневых). Национальные домены .RU/.РФ и другие доменные зоны продолжают работать в соответствии со стандартными процедурами DNSSEC.

https://kb.msk-ix.ru/dns/ksk/

Работа по замене ключей началась 4 года назад, однако «небольшие интернет-провайдеры могли включить себе проверку DNSSEC много лет назад, но не обратили внимание на то, что сейчас необходимо было поменять ключи».

#Интернет #сайт #шифрование #криптография #пароль

Dr.Web рекомендует

  1. Скорее всего, у большинства пользователей проблем не будет.
  2. Если уж ICANN меняет ключи, то менять свои пароли периодически не вредно и обычным пользователям.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: