Интернет-корпорация по присвоению имен и номеров (ICANN) объявила о том, что приведение в действие плана изменения криптографического ключа, который используется для защиты системы доменных имен (DNS), откладывается.
Смена — или «обновление» — ключа KSK была изначально запланирована на 11 октября, но эта дата переносится, потому что недавно полученные данные показывают, что значительное количество резолверов, которыми пользуются интернет-провайдеры и сетевые операторы, к ней еще не готовы.
Причин того, почему новый ключ еще не установлен в системах у операторов может быть множество: у некоторых установлена неправильная конфигурация программного обеспечения резолверов; кроме того, недавно была выявлена еще одна проблема — одна из распространенных программ резолверов не обновляет ключ автоматически, как должна — причины выясняются.
«Наша основополагающая миссия — обеспечение безопасности, стабильности и отказоустойчивости системы доменных имен. Мы предпочитаем действовать аккуратно и осмотрительно, чем сменять ключ 11 октября, — заявил Йоран Марби (Göran Marby), генеральный директор ICANN. — Раз мы выявили эти новые проблемы, было бы безответственно провести смену ключа, так как это может создать неудобства для конечных пользователей».
Изменение ключа подразумевает создание новой пары криптографических ключей и распространение нового открытого компонента ключа среди резолверов, осуществляющих валидацию DNSSEC (DNSSEC — расширения безопасности системы доменных имен). Если посмотреть на предполагаемое количество интернет-пользователей, которые используют резолверы, осуществляющие валидацию DNSSEC, изменение KSK может затронуть приблизительно четверть интернет-пользователей мира или 750 миллионов человек.
ICANN обращается к своему сообществу, включая Консультативный комитет по безопасности и стабильности, региональные интернет-регистратуры, группы сетевых операторов и других, за помощью в изучении и разрешении этих проблем.
Новая дата обновления ключа еще не определена. Офис технического директора ICANN сообщил, что обновление ключа предварительно планируется перенести на первый квартал 2018 года, но что окончательное решение будет зависеть от достижения более полного понимания новой информации и возможностей снижения риска возникновения как можно большего количества потенциальных неисправностей. ICANN уверена в защищенности текущего криптографического ключа и, соответственно, в безопасности DNS.
ICANN будет предоставлять дополнительную информацию по мере ее поступления, а о новой дате обновления ключа будет объявлено отдельно.
«Мы надеемся, что сетевые операторы воспользуются этим дополнительным временем, чтобы проверить готовность своих систем к обновлению ключа, — сказал Йоран Марби. — Наша испытательная платформа призвана помочь операторам проверить, что их резолверы настроены правильным образом на новый ключ, а мы будем продолжать нашу работу по взаимодействию и информированию этих операторов».