Корпорация ICANN, регулятор глобальной доменной индустрии, сообщила о первом в истории Интернета обновлении настроек защиты системы доменных имён (DNS): 11 октября 2018 года будут изменены криптографические ключи (KSK). Несмотря на то, что сама ICANN предупредила, что сложности могут коснуться лишь небольшого процента пользователей, сказанное породило множество новостей с заголовками в духе «Глобальный Интернет сломается», «Всё перестанет работать», «Мы останемся без Интернета». Чего ожидать и что делать владельцам сайтов — в нашем материале.
А что, собственно, произойдёт
Первоначально DNS-серверы, преобразующие IP-адреса в доменные имена, не имели защиты в виде криптографических протоколов, что подвергало их определённому риску: мошенники, перехватив запрос от компьютера пользователя, могли переадресовать его на свой, мошеннический сервер. В связи с этим ICANN в 2010 году предложила использовать расширение DNSSEC (DNS Security), и многие участники индустрии это поддержали, включая крупных интернет-провайдеров.
Работает это так: когда пользователь в браузере вводит адрес какого-либо сайта, его компьютер отправляет запрос на соответствующий адрес, а расширение DNSSEC подтверждает оператору связи, что адрес, найденный по запросу пользователя, верен. Это значит, что перехват запроса мошенниками исключён.
В 2010 году одновременно с утверждением расширения DNSSEC была согласована и частота изменения криптографических ключей — каждые пять лет для профилактики криптографической гигиены либо при необходимости. Однако в 2015 году процедуру отложили на пару лет из-за неготовности интернет-провайдеров. На сегодняшний день большинство из них произвели нужные настройки и полностью подготовлены к процедуре.
Кого именно это касается?
Если вероятность проблем с доступностью и есть, то только у тех сайтов, к доменам которых подключено расширение DNSSEC. Это расширение призвано обеспечить достоверность передаваемых данных об IP-адресе сайта, чтобы посетитель или клиент интернет-ресурса не попал на сайт мошенников. Часто DNSSEC входит в пакет услуг Premium DNS у регистраторов.
Что может пойти не так?
Смена ключей может пойти по двум сценариям и ни один из них нельзя считать апокалиптичным, хотя в одном из них даже присутствуют зомби.
Итак, сценарий первый. У операторов, следящих за серверным оборудованием и своевременно обновляющих его, проблем не возникнет. Серверы, настроенные десятилетия назад и продолжающие работать всё это время без должного обслуживания и обновлений программного обеспечения (и на них при этом используется DNS-резолвинг), конечно же, должны потребуют вмешательства сисадминов и апгрейда. Всё это коснётся небольшой доли серверов: только тех, которые морально устарели, однако продолжают работать — как зомби. В результате есть вероятность, что часть пользователей столкнётся со снижением скорости трафика, а часть интернет-ресурсов может оказаться недоступна. Но повторюсь — это очень и очень малая доля сайтов.
Сценарий второй. Подобная процедура проводится первый раз, и конечно, есть вероятность отклонения от плана, вероятность, что после обновления у системных администраторов и NOC-администраторов (сотрудников, следящих за корневой инфраструктурой) появится много задач. Но думаю, что тотальных последствий всё же ожидать не стоит: DNS так устроен, что возникающую проблему видно сразу при обновлении. Однако до конечного пользователя такое обновление, а значит, и возможная проблема, будет доходить в течение суток. А так как устранять её начнут сразу же после обнаружения, то вероятность дойти до рядовых юзеров очень низкая.
Паниковать и начинать подготовку к жизни без Интернета рядовым пользователям не стоит. Но как быть тем, кто имеет интернет-проект, и как им избежать простоя, если проблема внезапно затронет именно их?
Если 11 октября вы обнаружите, что ваш сайт не открывается, или посетители вашего сайта обнаружат, что сайт недоступен, вы можете рекомендовать им следующее:
- Позвонить своему интернет-провайдеру и узнать, в чём проблема. Можно поинтересоваться, обновил ли провайдер корневой сертификат DNS.
- Чтобы проверить доступность веб-ресурса из различных точек мира, можно воспользоваться сервисом ping-admin.ru/free_test/. Достаточно ввести адрес сайта, выбрать города и страны, из которых необходимо проверить доступность, и запустить проверку.
- Ещё один способ, который, вероятно, подойдёт не всем, но будет полезен, например, востребованным интернет-магазинам, имеющим хорошую техподдержку (ТП). Если пользователь был на сайте или делал заказ и сайт перестал открываться по причине ошибки DNS (браузер выдаёт сообщения “ERR_NAME_NOT_RESOLVED”, «Не удается получить доступ к сайту», «Не удалось найти IP-адрес сервера [ваш домен]»), то ТП может рекомендовать пользователям вписать в файл “hosts” IP интернет-магазина и его доменное имя. Как это сделать, описано в инструкции на сайте REG.RU: https://www.reg.ru/support/hosting-i-servery/sajty-i-domeny/kak-nastroit-dns/kak-mne-uvidet-sayt-do-obnovleniya-dns-serverov.
- Ещё один лайфхак, который могут применить владельцы сайтов накануне смены ключей: отключить от своего домена расширение DNSSEC. Это вернет безопасность вашего домена на обычный уровень, но исключит вероятность недоступности вашего сайта через операторов, у которых будут проблемы. Снова включить DNSSEC можно будет на следующий день после процедуры, когда всё уже должно работать, как обычно (точнее можно узнать в техподдержке провайдера). Например, в REG.RU это можно сделать в карточке домена. Внутри управления есть кнопка «Включить» или «Выключить».
Для подавляющего большинства юзеров процедура смены ключей пройдёт вообще незаметно. Поэтому можно выдохнуть и расслабиться, а владельцам интернет-ресурсов советуем на всякий случай сохранить инструкцию в закладках.