» » » 11 ноября: Как подготовиться к цифровому апокалипсису

11 ноября: Как подготовиться к цифровому апокалипсису

После 11 октября возможны перебои в работе мирового интернета.
Проще говоря:
11 октября Корпорация по управлению доменными именами и IP-адресами (ICANN) намерена начать первое в истории сети обновление настроек защиты мировой системы доменных имен. Оно будет заключаться в изменении криптографических ключей, из-за чего пользователи интернета не смогут открыть некоторые сайты.


Существует вероятность, что после заявленной даты некоторые пользователи не смогут открыть тот или иной сайт.
В течение 48 часов после обновления ключа они начнут получать сообщения о невозможности разрешить имя в форме ошибок типа "server failure" или SERVFAIL.
С проблемами в первую очередь столкнутся пользователи, которые используют расширения безопасности системы доменных имен DNSSEC. Однако корпорация ожидает, что последствия обновлений будут минимальны. 11 октября – предварительная дата перехода на новые ключи, она еще может корректироваться.


Сценарии развития событий
Сценарий №1:
У операторов, следящих за серверным оборудованием и своевременно обновляющих его, проблем не возникнет. Обновления потребует только некоторая часть серверов. В результате есть вероятность, что часть пользователей столкнётся со снижением скорости трафика, а очень малая доля интернет-ресурсов может оказаться недоступна.

Сценарий №2:
Подобная процедура проводится в первый раз, и есть вероятность отклонения от плана и возникновения непредвиденных ситуаций. Тем не менее особых глобальных последствий ожидать не стоит. DNS так устроен, что возникающую проблему видно сразу
при обновлении. Однако до конечного пользователя такое обновление, а значит, и возможная проблема, будет доходить
в течение суток. А так как устранять её начнут сразу же после обнаружения, то вероятность, что она коснётся рядовых владельцев сайтов очень низкая.

Что делать?
Если 11 октября ваши пользователи обнаружат, что ваш сайт не открывается, вы можете рекомендовать им следующее:
1) Позвонить своему интернет-провайдеру и узнать, в чём проблема.
2) Проверить доступность из различных точек мира. Например, можно использовать сервис ping-admin.ru/free_test/.
3) Попросить пользователя, который не может зайти на ваш сайт
по причине ошибки DNS, вписать в файл “hosts” IP интернет-магазина и его доменное имя.
4) Отключить от своего домена расширение DNSSEC. Это вернёт безопасность вашего домена на обычный уровень, но исключит вероятность недоступности вашего сайта. Снова включить DNSSEC можно будет на следующий день после процедуры, когда
всё уже должно работать, как обычно.


Подробнее:
Корпорация ICANN готовится к первой в истории смене криптографических ключей, которые служат защитой для системы доменных имен интернета (DNS), в связи с чем ею было опубликовано руководство с описанием того, чего следует ожидать в этом процессе.

Смена ключей, процесс, известный под названием «обновление ключа для подписания ключей (KSK)», назначена на 11 октября 2018 года. Это новое руководство ICANN предназначено для аудитории с любым уровнем технических знаний. Предоставленная в нем информация о том, чего следует ожидать, призвана помочь всем подготовиться к обновлению ключа. Руководство публикуется в рамках текущей работы корпорации ICANN над повышением осведомленности об обновлении ключа; в нем также предоставлено подробное описание всего процесса.

Полный текст руководства доступен здесь [PDF, 172 KB]. Наибольшую пользу руководство представляет для операторов валидирующих резолверов, которые желают получить четкие инструкции о том, чего следует ожидать после обновления ключа, а также для журналистов без технической специализации, блогеров и других, планирующих писать об обновлении ключа до, во время и после самого события. Кроме того, документ может оказаться полезным исследователям, которые будут наблюдать за DNS на предмет отказа резолверов после завершения процедуры обновления ключа.

Хотя корпорация ICANN предполагает, что последствия смены KSK в корневой зоне для пользователей будут минимальные, ожидается, что небольшой процент интернет-пользователей испытает сложности при разрешении доменных имен, что на нетехническом языке значит, что у них возникнут проблемы с достижением онлайн-пункта назначения. На текущий момент небольшой ряд рекурсивных резолверов, валидирующих расширения безопасности системы доменных имен (DNSSEC), имеет неправильную конфигурацию, от чего могут пострадать некоторые пользователи, зависящие от этих резолверов. В настоящем документе описано, которые пользователи могут иметь сложности и типы этих сложностей на разных этапах. Краткая сводка:

На ком обновление не отразится:

На пользователях, которые зависят от резолвера с последним KSK
На пользователях, которые зависят от резолвера, в котором не включена DNSSEC-валидация
На ком обновление отразится и каким образом:


Если в конфигурации якоря доверия резолвера не указан новый KSK, то в течение 48 часов после завершения обновления ключа пользователи начнут получать сообщения о невозможности разрешить имя (обычно в форме ошибок типа «server failure» или SERVFAIL). ПРИМЕЧАНИЕ: Нет возможности предсказать, когда операторы резолверов, на которых отразится обновление заметят, что у них прекратилась валидация.
Результаты анализа позволяют заключить, что более 99% пользователей, чьи резолверы выполняют валидацию, от обновления KSK не пострадают. Пользователи, использующие хотя бы один резолвер, готовый к обновлению, не заметят никаких изменений в использовании DNS и интернета в принципе после обновления. (То же можно сказать и о пользователях, в чьих резолверах не включена DNSSEC-валидация. На текущий момент предполагается, что приблизительно две трети пользователей применяют резолверы, в которых не включена DNSSEC-валидация.)
  0
Коментарів: 0
Додати коментар
Інформація
"Гостi" не можуть коментувати дану новину.