Корпорация по управлению доменными именами и IP-адресами (ICANN) отложила выход обновления криптографического ключа KSK до следующего года из-за невнимательности интернет-провайдеров и технических неполадок. Изначально обновление планировалось провести 11 октября 2017 года.
Криптографический ключ KSK является частью протокола DNSSEC — более защищенной версии протокола DNS. Протокол испульзует ключи для создания криптографической подписи данных в качестве метода предотвращения атак, предполагающих подмену DNS-запросов.
Протокол DNSSEC подразумевает использование для каждой зоны двух криптографических ключей: ключа подписания зоны (ZSK) и ключа подписания ключей (KSK). Таким образом, KSK DNSSEC корневой зоны является вершиной всей иерархической пирамиды DNSSEC. ICANN установила данную систему в надежде, что она со временем вытеснит стандартный DNS-протокол, и злоумышленники больше не смогут отправлять пользователям ложные DNS-ответы, приводя их к вредоносным серверам.
Ключ ZSK корневой зоны обновляется ICANN ежеквартально, однако ключ KSK не обновлялся ни разу с момента его создания в 2010 году. В 2016 году корпорация представила новый ключ, а его фактическая ротация была намечена на 11 октября 2017 года. По первоначальному плану ICANN, ключевые DNS-серверы должны были работать как со старыми, так и с новыми ключами KSK одновременно.
Согласно заявлению ICANN, многие интернет-провайдеры не реализовали новый ключ KSK в своей инфраструктуре. Количество таких провайдеров составляет от 6% до 8% от общего числа. По заявлению представителей организации, в случае планового обновления более 60 миллионов пользователей Интернета не смогли бы отправить DNS-запросы 11 октября, когда ICANN должна была отозвать старый ключ KSK. По большому счету ICANN видит проблему в ленивых провайдерах, которые не обновили существующие ключи. По словам представителей ICANN, многие интернет-провайдеры могут не знать, что не установили последнюю версию KSK. Некоторые из них используют программное обеспечение для автоматической установки и настройки ключа KSK, однако в данном ПО, по всей видимости, имелся ряд ошибок, не позволяющих провести обновление.
В связи с этим ICANN отложила обновление до первого квартала 2018 года. С точной датой корпорация пока не определилась.

Источник: securitylab.ru