ICANN, autoritatea mondială de gestionare și alocare a adreselor de tip Internet Protocol (IP) și a Internet Assigned Numbers Authority (IANA) se pregătește să realizeze luna viitoare o schimbare a cheilor criptografice KSK care protejează serviciul Domain Name System (DNS). Aceasta este prima schimbare de o asemenea amploare realizată de organizație din 2010 încoace, anul în care instituția a fost și înființată.
Săptămâna trecută consiliul ICANN a votat schimbarea și data la care aceasta va avea loc, 11 Octombrie 2018, după discuții și consultări între instituție și partenerii săi care se defășoară de mai bine de un an.
Ce este o cheie KSK?
Schimbarea este notabilă întrucât impactează un sistem global, folosit zilnic în background de internauți și profesioniști care activează în online. Atunci când un utilizator face o interogare în online, în spate are loc o validare DNSSEC (DNS Security Extension), folosind o cheie criptografică publică. Rolul cheilor criptografice este acela de a certifica practic că adresa livrată de către ISP (furnizorul de internet) este cea căutată de utilizator sau nu.
Anterior introducerii extensiilor DNSSEC, hackerii aveau opțiunea să intercepteze interogările în browser ale utilizatorilor și să înlocuiască adresa IP cu una malițioasă, redirecționând traficul legitim către pagini web cu scopuri malițioase. Începând cu 2010, răspunsurile DNSSEC sunt gestionate de către ICANN. Schimbarea cheii criptografice în acest caz este o operațiune de prevenție – asemănător unei chei sau parole folosite în scopuri personale, cheia KSK are nevoie de update-uri periodice pentru prevenirea unui eventual atac cibernetic. ICANN a încercat modificarea cheii KSK încă din 2017, însă planurile de atunci au fost amânate pentru anul acesta la cererea furnizorilor de internet cu care instituția realiza consultări pe subiect.
Care sunt riscurile schimbării?
Utilizatorii finali vor fi afectați de către această schimbare doar în cazul în care furnziorul lor de internet nu s-a pregătit în avans pentru schimbare. Sau în cazurile în care furnizorul are setate reguli mai complexe de validare a informației DNSSEC. Conform estimărilor ICANN, aproximativ 25% din populația globală folosește furnizori de internet ale căror sisteme de validare s-ar putea să nu fie aliniate încă schimbării planificate. Chiar și acest context, ICANN se așteaptă ca maxim 1% din utilizatori să experimenteze o problemă de acces site-uri din cauza acestei schimbări.
Utilizatorii pot întâmpina erori la accesare site-uri după schimbarea cheii KSK, în lipsa updatării setărilor de către ISP-iști.
Utilizatorii care întâmpină probleme pot în primă faza elimina lipsa conectivității ca posibilă sursă a problemei, încercând operațiuni de ping în consolă sau folosirea adreselor IP în locul adreselor URL. Proprietarii de site-uri care vor constata odată cu trecerea la noua cheie că nu își mai pot accesa site-ului sunt direcționați să își contacteze furnizorul de internet. Furnizorii de servicii de găzduire web îi pot ajuta pe administratorii de site cu verificare a setărilor per cont, însă problemele cauzate de această schimbare pot fi adresate doar de către furnizorii de internet.
Schimbarea cheii KSK va avea loc pe data de 11 Octombrie. Întrucât rollout-ul live poate dura până la 48 ore, utilizatorii din online sunt rugați să monitorizeze posibile erori care pot apărea în intervalul 11 – 13 octombrie.