Последние два дня российские СМИ будоражит новость о том, что якобы 11 октября можно ожидать глобальные сбои в работе всего мирового интернета из-за того, что корпорация по присвоению доменных имен и IP-адресов (ICANN) собирается менять какие-то ключи. Интерпретаций было огромное количество, но почти все они равноудалены от реальности. Для того, чтобы лучше разобраться, что же нам все-таки предстоит, надо сделать шаг назад и коротко описать, как на самом деле устроена система интернет-адресации.
Всемирная записная книжка
Каждый раз, когда мы пытаемся зайти на сайт, открыть мобильное приложение или отправить письмо по электронной почте, наш провайдер пытается узнать для нас адрес этого ресурса или приложения. Для этого он обращается в глобальную базу данных, которая называется DNS. Это своеобразная всемирная записная книжка, в которой всем доменным именам соответствуют IP-адреса серверов, на которых лежат нужные нам сайты. Отправив в запросе доменное имя, мы в ответ получаем IP-адрес, при помощи которого находим необходимый ресурс.
Ответы системы DNS подписываются электронной подписью. Это нужно для того, чтобы никто не перехватил адрес «по дороге» и не подменил его, отправив нас на какой-нибудь сторонний, — например, мошеннический, — ресурс. Благодаря подписи мы можем быть уверены, что зашли именно туда, куда собирались изначально.
Подпись создается при помощи двух ключей, которые служат своеобразным «паролем». Именно эти ключи корпорация ICANN и собирается менять в ближайшем будущем. Сама по себе смена ключей — рядовая операция, которую регулярно производят все мировые организации, ответственные за управление доменными зонами. Это необходимая часть стандартных процедур по информационной безопасности. Менять ключи время от времени надо для того, чтобы быть уверенным, что они не утекли на сторону и не стали доступны третьим лицам. Точно так же мы сами меняем пароль к своей электронной почте или личному кабинету в банке.
Электронная подпись здесь выступает виртуальным нотариусом: благодаря ей мы можем быть уверенны в правильности того что к нам пришло. Смена ключей электронной подписи — это как смена печати у нотариуса: чтобы по-прежнему доверять документу, мы должны быть заранее оповещены, что эта печать изменилась.
Процедура смены ключей во многом автоматизирована и проходит сама, без участия человека. Однако некоторые операторы связи, особенно те, что пользуются устаревшим программным обеспечением, могли не настроить свое оборудование так, чтобы автоматически получать новый ключ. А это значит, что в какой-то момент они могут «не узнать» пришедший от DNS ответ и не передать адрес ресурса пользователю. А у того, соответственно, не откроется сайт или не заработает приложение.
Встретиться с затруднениями могут 0,04% пользователей.
Риск, что «что-то пойдет не так», когда-то действительно существовал. Небольшие операторы, особенно в развивающихся странах, не слишком спешили обновлять свое оборудование и программное обеспечение, а также выставлять правильные настройки. Однако в настоящее время число таких операторов крайне незначительно. Различные эксперты дают очень широкий разброс оценок, однако нам наиболее правдоподобной кажется следующая цифра: встретиться с затруднениями могут 0,04% пользователей.
При этом для всех других пользователей не изменится ничего вообще. Ни о каком замедлении скорости интернета речи не идет — проблема стоит гораздо «выше» по иерархии и проявляется еще во время запроса, а не во время скачивания. Кроме того, даже проштрафившийся оператор не будет так работать долго — инженеры следят за работой оборудования и обязательно обратят внимание на аномально большое количество ошибок.
Наконец, и сам ICANN, и все техническое сообщество непрерывно говорят об этой проблеме уже несколько лет, поэтому о проблеме ротации ключей осведомлены все кто хоть сколько-нибудь соприкасается с настройкой сетевого оборудования.
Развенчание мифов
Самое интересное в этой ситуации — поближе рассмотреть возникающие мифы. В них, как в пятнах Роршаха, люди видят собственные страхи. И, конечно же, их надо развенчать:
Миф 1 — спланированное действие. Якобы смена ключей позволит отключать интернет извне несогласным странам и территориям. Это, конечно же, не так. Система адресации едина, и правила подписи DNS действуют для всех, независимо от того, где пользователи расположены и какого политического курса придерживаются. В какой-то мере работу этой части адресной системы можно сравнить с законом физики, который действует абсолютно неизбирательно.
Миф 2 — окно возможностей для злоумышленников. Технически сыграть на смене ключей не получится, но всегда есть возможности для социальной инженерии, когда мошенники используют страх и непонимание того, как работает адресная система интернета. Поэтому лучший способ не повестись на такие уловки —просто не слушать сомнительные источники.
Кстати говоря, совершенно аналогичная ротация ключей в национальных доменных зонах .RU и. РФ происходит регулярно, раз в три месяца, на протяжении уже многих лет. Это ни разу не приводило к каким-то сбоям в работе. Смена ключей происходит абсолютно незаметно как для пользователей, так и для владельцев сайтов.
В некоторых экспертных кругах очень популярно сравнение интернет-инфраструктуры с банковским бизнесом: лучший банк — самый скучный банк. Если о нем нет новостей, значит у него все хорошо. Так и здесь: инфраструктура интернета — это нечто, что лежит невидимым слоем под привычными нам сайтами, приложениями, социальными сетями и электронной почтой. Она просто работает, и мы можем ничего не знать, что и как там происходит «под капотом». Именно поэтому я уверен, что 11 октября будет у нас, как у того камня в лесу, еще одним днем, когда ничего не произошло.
Это тоже интересно: