«- Ты суслика видишь? – Нет. – И я нет. А он есть!»
(фильм «ДМБ»)

Безопасность – это жутко модная тема. Продвинутые пользователи уже почти не вздрагивают от привычных сообщений о взломах и утечках, поэтому образ «недоброго Интернета» потихоньку заполняет массовое сознание. Так уж получилось, что система доменных имен (DNS) никогда не была безопасной: так сказать, уязвима с рождения.

Не первый год существует альтернатива – защищенный протокол DNSSEC, который активно внедряется при серьезной поддержке ICANN.

По сути, у концепции DNSSEC нет конкурентов, и это средство зачастую преподносится в виде «серебряной пули», которая должна решить основные проблемы с безопасностью в доменном пространстве. В профессиональных кругах безопасный DNS обсуждают, внедряют и популяризируют, но сам DNSSEC продолжает жить в параллельном мире. В большинстве своем пользователи даже не подозревают о его существовании. А те немногие, кто знает слово «резолвер», все равно не могут воспользоваться преимуществами DNSSEC.

В октябре 2011 года безопасный протокол появился в домене SU, а чуть больше недели назад был подписан кириллический домен РФ. RU-CENTER заявил о поддержке DNSSEC в российских доменах – SU и РФ, а также COM, NET и ORG. Похоже, лед тронулся, и безопасный DNS двинулся в Рунет. Вот только чего больше в этой суете: политических соображений, либо реальных возможностей для администраторов доменных имен?

Последняя миля доверия

Механизм работы DNSSEC – это тема отдельной статьи. Без лишних подробностей обозначим лишь самые существенные отличия безопасного протокола. Это позволит понять фундаментальные проблемы, которые возникают с его внедрением во всем мире, и в России в частности.

Вообще, классическая система доменных имен – это настоящий клондайк для мошенников, потому что ее основополагающий принцип – доверие. Все участники цепочки доверяют друг другу, поэтому подменить адрес, отправить пользователя на фишинговый сайт – оказывается проще простого. Сервер, который обрабатывает запрос, доверчив, как маленький ребенок.

DNSSEC, которому довелось родиться в эпоху «недоброго Интернета», вовсе не стремился подорвать основы системы доменных имен. Наоборот, он пытается реанимировать принцип доверия, но с одним полезным дополнением: доверяй, но проверяй. В основе лежит метод цифровой подписи ответов на запрос DNS lookup, поэтому у получателя информации всегда есть возможность проверить ее корректность и целостность. Таким образом, выстраивается новая цепочка доверия, которая защищена от мошенников, ведь это уже не слепая вера в человеческую природу, а последовательность проверок, идущая от корневой зоны DNS.

На этом технические подробности заканчиваются и начинаются организационные сложности. В июле 2010 года Международная корпорация ICANN объявила о подписании корневой зоны, вслед за этим настала очередь доменов верхнего уровня. Дальнейшую поддержку протокола должны обеспечить регистраторы, а также хостеры и ISP. Пользователи оказываются, увы, последним звеном в этой длинной цепочке, которая строится сверху вниз. Даже если поддержку DNSSEC обеспечат все вышестоящие звенья, для рядового юзера счастье может не наступить. За работу с новым протоколом отвечает специальное системное ПО (резолверы), которое еще не вполне прониклось идеей безопасного DNS.

Подписал и спишь спокойно?

С доменами верхнего уровня, которые уже знают про DNSSEC, все обстоит неплохо. По данным ICANN, на момент написания статьи подписано 105 доменов, причем большую активность продемонстрировали национальные регистратуры. Так, например, поддержка DNSSEC внедрена в CZ (Чехия), PL (Польша), BG (Болгария), UA (Украина), Армения (AM). Россия, на долю которой приходятся сразу 3 национальных домена, не пошла в первых рядах, а решила выждать и изучить чужой опыт.

В качестве экспериментального полигона был выбран домен бывшего Советского Союза. По словам Сергея Овчаренко, заместителя директора «Фонда развития Интернет», внедрение DNSSEC в SU преследовало три цели: дать заинтересованным пользователям возможность использовать протокол, заложить фундамент для экспериментов и привлечь внимание к новой технологии.
Если оценивать эффект в подписанных доменах второго уровня, то в SU он оказался минимальным. «Тем не менее, пусть и ограниченный, но спрос на технологию есть. Мы считаем, что DNSSEC поможет существенно укрепить доверие пользователей к услугам, предоставляемым через Интернет, и будет набирать популярность по мере появления и развития основанных на DNSSEC технологий», - добавил Сергей Овчаренко.

Главный российский домен RU, который насчитывает более 4 млн регистраций, по-прежнему ничего не знает о DNSSEC. Однако ситуация может измениться уже в ближайший месяц. В Координационном центре национального домена сети Интернет рассчитывают подписать RU до конца 2012 года. «Мало подписать зону, нужно, чтобы этим начали пользоваться регистраторы, провайдеры и абоненты, - пояснил директор КЦ Андрей Колесников. - Главная сложность - это продвижение технологии «цепочки доверия» до конечного клиента. Мы рассчитываем, что аккредитованные регистраторы этим активно займутся».

Регистраторы, которые являются важным звеном в пресловутой цепочке, тоже вроде бы не прочь постараться для общего дела. На сайте ICANN можно обнаружить скромный список из двух десятков компаний, поддерживающих протокол, но его вряд ли можно считать полным. Из российских регистраторов доменных имен в списке значится только RU-CENTER, входящий в ГК Hosting Community. Кстати, другой регистратор из этого холдинга – R01 – еще с 2006 года поддерживает специальный промо-сайт, посвященный технологии DNSSEC, а 6 лет назад делал любопытные заявления о перспективах этой технологии.

«RU-CENTER всегда старался планомерно внедрять действительно перспективные, фундаментальные технологические новшества, не гонясь, вместе с тем, за сиюминутной модой в общей толпе. DNSSEC - как раз такая фундаментальная новая технология», - рассказал Андрей Воробьев, директор по связям с общественностью и органами государственной власти RU-CENTER.

Один из экспертов хостингового рынка – Филипп Кулин – считает, что полноценной поддержки DNSSEC в настоящее время не обеспечивает ни один отечественный регистратор. В RU-CENTER и R01 есть возможность передать записи о ключах в веб-интерфейсе, но партнерский API лишен такой возможности. «Есть еще 3-4 регистратора, которые пользуются услугой «Виртуальный регистратор» от ТЦИ. Их API имеет возможность поддержки DNSSEC. Но их доля, вес и значимость хорошо видны в микроскоп», - добавил Филипп.

Есть надежда, что российские регистраторы более активно включатся в процесс внедрения DNSSEC: во всяком случае, некоторые из них настроены вполне серьезно. «Внедрение DNSSEC – это инвестиции в безопасное будущее Интернета, - считает Сергей Шариков, генеральный директор «Регтайма». – Протокол предоставит новые возможности как пользователям, так и участникам рынка. В самое ближайшее время «Регтайм» обеспечит поддержку DNSSEC в уже подписанных доменах и будет добавлять новые – по мере их подписания».

DNSSEC: проблема яйца и курицы?

На мой взгляд, проблемы DNSSEC и IPv6, которые регулярно обсуждаются на конференциях ICANN, имеют между собой много общего. В обоих случаях отсутствуют простые и наглядные преимущества технологии, которые, что называется, можно «пощупать руками». Соответственно, обе технологии для пользователей, скорее, напоминают Неуловимого Джо. Его никто не может поймать, потому что он никому не нужен.

Таким образом, DNSSEC не обещает администраторам доменов сиюминутных выгод. Для того, чтобы осознать его потенциал, нужен широкий взгляд на вещи и постоянное стремление заглянуть в будущее. А там – не только надежная защита от подмены адресов сайтов, но и другие сервисы, которые можно построить на цепочке доверия. Филипп Кулин упомянул протокол DANE, который описывает размещение сертификатов x509 в системе DNS и сможет придти на смену системе SSL-сертификатов.

DNSSEC уже сейчас будет интересен корпоративным пользователям, потому что подмена DNS-трафика может обернуться для них серьезными убытками, - считает Роберт Гледенов, председатель Комитета регистраторов КЦ.

Все участники рынка уверены, что технология DNSSEC нуждается в популяризации, в том числе, в среде конечных пользователей. Пусть сейчас большинство из них не могут воспользоваться преимуществами протокола, все равно – бездействие по этой причине образует замкнутый круг. Это противоречие очень точно сформулировал Сергей Овчаренко (ФРИ): «Валидирующих резолверов мало (около 1.6 % в мире), но если так рассуждать, то получается проблема курицы и яйца: вопрос зачем подписывать домен, когда нет валидирующих резолверов, влечет за собой вопрос: зачем кому-то ставить резолверы, когда нет подписанных доменов?». Те, кто очень хотят воспользоваться преимуществами DNSSEC, могут поставить плагин к браузеру и наслаждаться.

Не стоит забывать и о том, что DNSSEC неизбежен в новых доменах верхнего уровня, которые появятся по программе New gTLD. Это обстоятельство позволяет разглядеть в этой истории политический подтекст: свою приверженность идеалам безопасности в Рунете декларировали, в первую очередь, те организации, которые претендуют на новые домены.

Так или иначе, в ближайшем будущем популярность DNSSEC в России будет возрастать. КЦ подготовил рекомендации и примеры использования безопасного протокола, которые вскоре появятся на его сайте. Свой вклад планируют внести и регистраторы: RU-CENTER собирается проводить специальные семинары для системных администраторов, а также, вероятно, запустит справочно-информационный сайт, посвященный этой технологии.

Федор Смирнов,
аналитик Info.nic.ru