ICANN отложила выход обновления криптографического ключа KSK

На 11 октября 2017 года корпорацией ICANN было запланировано обновление криптографического ключа KSK. Однако, из-за невнимательности интернет-провайдеров и технических неполадок, выход обновления был отложен до следующего года. 

Криптографический ключ KSK является частью протокола DNSSEC – более защищенной версии протокола DNS. Протокол использует ключи для создания криптографической подписи данных в качестве способа предотвращения атак, предполагающих подмену DNS-запросов.

Протокол DNSSEC предполагает использование двух криптографических ключей для каждой зоны: ключа подписания зоны (ZSK) и ключа подписания ключей (KSK). То есть, KSK DNSSEC корневой зоны является вершиной всей иерархической пирамиды DNSSEC.

Корпорация установила такую систему с расчетом на то, что со временем она вытеснит стандартный DNS-протокол, благодаря чему злоумышленники больше не смогут отправлять пользователям ложные DNS-ответы, приводя их к вредоносным серверам.

Ключ ZSK корневой зоны обновляется ICANN ежеквартально, однако ключ KSK не обновлялся ни разу с момента его создания в 2010 году. В 2016 году корпорация представила новый ключ, а его фактическая ротация была запланирована на 11 октября 2017 года. Согласно плану ICANN, ключевые DNS-серверы должны были одновременно работать как со старыми, так и с новыми ключами KSK.

Согласно официальному заявлению ICANN, многие интернет-провайдеры (порядка 8% от общего числа) в своей инфраструктуре новый ключ не реализовали. И в случае планового обновления 11 октября, когда ICANN должна отозвать старый ключ, более 60 миллионов пользователей Интернета не смогли бы отправить DNS-запросы. Во избежание такой ситуации, ICANN отложила плановое обновление до первого квартала 2018 года.

Источник: securitylab.ru