,
Pärast seda, kui müüt anonüümsusest Internetis hajus, on kasutajate privaatsuse küsimus liitunud kõige pakilisemate küsimustega. Teie veebitegevusi ei saa mitte ainult jälgida otsingumootorid ja veebisaidid, mida külastate, aga ka teie enda Interneti-teenuse pakkujad. Tehniliselt pole see nii keeruline, kui DNS väljastab teile teenusepakkuja ja see juhtub enamasti siis, kui kõik läbib DNS liiklust saab sellega jälgida, eriti kuna DNS-päringud saadetakse krüptimata ühenduse kaudu.
On selge, et pealtkuulatud pakettide asendamine ei ole keeruline isegi siis, kui kasutate VPN-teenused.
Ainus viis augu sulgemiseks on krüpteerimine. DNS-liiklus, kuid selleks vajate spetsiaalset tarkvara, kuna ükski operatsioonisüsteem ei toeta krüptimist DNS karbist välja. Enamik lihtne tööriist krüpteerimiseks DNS- liiklus on väike tasuta utiliit, mida eristab soodsalt asjaolu, et see ei nõua lisaseaded, mis tähendab, et seda saavad kasutada algajad. Seal on konsooli tööriist - DNSCrypti puhverserver, kuid peate selle kallal nokitsema – käivitage sees rida käske PowerShell, muuda aadressi DNS käsitsi ja nii edasi. Kellel aega ja soovi, palun, saab sellega lehel tutvust teha github.com/jedisct1/dnscrypt-proxy .
Soovitame kasutada lihtsamat ja mugavamat töölauaversiooni DNS- krüptograaf. Laadige alla arendaja veebisaidilt simplednscrypt.org Programmi versioon, mis vastab teie OS-i bititasemele, ja installige see.
Varustatud lihtsa ja intuitiivsega selge liides ja pealegi on see vene keeles, nii et saate hõlpsalt aru saada, mis on mis. Põhiseaded tehakse jaotises "Menüü". Programmi kasutamise alustamiseks klõpsake kohe pärast installimist nuppu "Rakenda" ja seejärel valige allosas oma võrgukaart, see tuleks märkida, nagu ekraanipildil näidatud. Lüliti "DNSCrypti teenus" peab olema aktiivne.
Lihtne on kontrollida, kas kõik töötab. Käivitage aknas Jookse meeskond ncpa.cpl, avage oma ühenduse atribuudid, valige loendist IP versioon 4 (TCPIPv4) ja avage selle omadused. Raadio nupp "Kasuta järgmisi DNS-serveri aadresse" peab olema aktiivne ja väli peab näitama eelistatavat DNS-server. Meil on see 127.0.0.1 , võib teie aadress olla erinev.
Vaikimisi valib programm automaatselt kõige rohkem kiire server, kuid saate oma eelistusi muuta, valides selle jaotises ise.
Sektsiooni parameetreid ei pea muutma, kui te protokolli ei kasuta IPv4. IN üldseaded saab sisse lülitada täiendavad vahelehed "Domeenide must nimekiri", "Domeeni blokeerimise logi", kuid see on jällegi siis, kui kavatsete töötada nende pakutavate funktsioonidega, eelkõige komponeerimisega "must" domeenide loendid.
Samuti on vahekaardid ja "Aadresside must nimekiri", kuid millegipärast on nad meie jaoks passiivsed.
DNSCrypt krüpteerib DNS-i, kuid kuidas on lood privaatsusega üldiselt, kas programm võib muuta võrgus sirvimise anonüümseks? Ei, ülesanne DNSCrypt eesmärk on kaitsta asendamise eest DNS- serverid ründajate poolt (eeldusel, et te ei muutnud HOSTS-faili) , see ei mõjuta mingil moel anonüümsust, kuid seda saab kasutada täiendava privaatsustööriistana Interneti-ühenduse loomisel VPN .
Windows 10-s saate VPN-ühendusi väga lihtsalt lisada ja eemaldada, kuid juba konfigureeritud ühendusi pole võimalik eksportida. Miks võib seda vaja minna? Protseduur ise VPN-i seadistamiseks Windowsis ...
Arvate, et teie anonüümsus on usaldusväärselt kaitstud. Kuid kahjuks see nii ei ole. On üks väga oluline kanal teie isikliku teabe lekkimine - DNS-teenus. Aga õnneks on ka sellele lahendus leiutatud. Täna räägin teile, kuidas DNSCrypt utiliidi abil oma DNS-liiklust krüptida.
HTTPS-i või SSL-i kasutamisel teie HTTP liiklus krüpteeritud, st kaitstud. Kui kasutate VPN-i, on kogu teie liiklus juba krüptitud (muidugi, kõik sõltub sellest VPN-i seaded, kuid reeglina see nii on). Kuid mõnikord, isegi VPN-i kasutades, ei krüptita teie DNS-päringuid, need saadetakse sellisel kujul, mis avab palju ruumi loovusele, sealhulgas MITM-i rünnakutele, liikluse ümbersuunamisele ja paljule muule.
Siin tuleb appi avatud lähtekoodiga DNSCrypt utiliit, mille on välja töötanud OpenDNS-i tuntud loojad - programm, mis võimaldab teil krüptida DNS-päringuid. Pärast selle arvutisse installimist on kaitstud ka teie ühendused ja saate turvalisemalt Internetis surfata. Muidugi pole DNSCrypt imerohi kõigi probleemide jaoks, vaid ainult üks turvatööriistadest. Kogu liikluse krüptimiseks peate ikkagi kasutama VPN-ühendust, kuid selle sidumine DNSCryptiga on turvalisem. Kui olete sellise lühikese selgitusega rahul, võite kohe liikuda jaotise juurde, kus kirjeldan programmi installimist ja kasutamist.
Proovime sügavamalt mõista. See osa on tõeliselt paranoilistele. Kui hindate oma aega, saate kohe programmi installimisega alustada.
Niisiis, nagu öeldakse, on parem üks kord näha kui sada korda kuulda. Vaata pilti.
Oletame, et klient (pildil olev sülearvuti) üritab pääseda juurde saidile google.com
määrake sümboolne hostinimi IP-aadressiks. Kui võrgu konfiguratsioon on selline, et kasutatakse teenusepakkuja DNS-serverit (krüpteerimata ühendus, joonisel punane joon), siis sümboolse nime eraldus IP-aadressiks toimub krüptimata ühenduse kaudu.
Jah, keegi ei tea, milliseid andmeid te aadressile dkws.org.ua edastate. Kuid on ka väga ebameeldivaid hetki. Esiteks saab pakkuja DNS-i logisid vaadates teada, milliseid saite külastasite. Kas sul on seda vaja? Teiseks on tõenäoline DNS-i võltsimise ja DNS-i nuhkimisrünnakute võimalus. Ma ei kirjelda neid üksikasjalikult, selle kohta on juba palju artikleid kirjutatud. Lühidalt võib olukord olla järgmine: keegi teie ja teenusepakkuja vahel saab DNS-i päringu pealt kuulata (ja kuna päringud pole krüptitud, pole päringu pealtkuulamine ja selle sisu lugemine keeruline) ja saata teile " võlts” vastus. Selle tulemusena lähete google.com-i külastamise asemel ründaja veebisaidile, mis on täpselt selline, nagu vajate, sisestate foorumist oma parooli ja siis on sündmuste areng minu arvates selge.
Kirjeldatud olukorda nimetatakse DNS-i lekkeks (“ DNS leke"). DNS-i lekkimine toimub siis, kui teie süsteem, isegi pärast ühenduse loomist VPN-server või Tor jätkab domeeninimede lahendamiseks ISP DNS-serveritelt päringute tegemist. Iga kord, kui külastate uut saiti, looge ühendus uue serveriga või käivitage midagi võrgurakendus, pääseb teie süsteem juurde DNS-i pakkuja et määrata nimi IP-ks. Selle tulemusel saavad teie teenusepakkuja või kõik, kes asuvad "viimasel miilil", st teie ja teenusepakkuja vahel, saada kõigi nende sõlmede nimed, millele te juurde pääsete. Ülaltoodud võimalus IP-aadressi asendamisega on üsna julm, kuid igal juhul on võimalik külastatud sõlmede jälgimine ja seda teavet oma eesmärkidel kasutada.
Kui te "kardate" oma Interneti-teenuse pakkujat või lihtsalt ei taha, et nad näeksid, milliseid saite te külastate, saate (muidugi, v.a. kasutades VPN-i ja muud turvameetmed) täiendavalt konfigureerige oma arvuti DNS-i kasutades projekti OpenDNS serverid (www.opendns.com). Sees hetkel need on järgmised serverid:
208.67.222.222
208.67.220.220
Te ei vaja muud lisatarkvara. Lihtsalt konfigureerige oma süsteem neid DNS-servereid kasutama.
Kuid DNS-ühenduste pealtkuulamise probleem jääb endiselt alles. Jah, te ei pääse enam juurde teenusepakkuja DNS-ile, vaid pigem OpenDNS-ile, kuid saate siiski pakette pealt kuulata ja näha, mis neis on. See tähendab, et soovi korral saate teada, millistele sõlmedele ligi pääsesite.
Nüüd jõuame DNSCrypti juurde. See programm võimaldab teil oma DNS-ühendus. Nüüd ei tea teie Interneti-teenuse pakkuja (ja kõik teie ja nende vahel) täpselt, milliseid saite te külastate! Ma kordan seda uuesti. See programm ei asenda Tori ega VPN-i. Nagu varemgi, edastatakse ülejäänud teie edastatavad andmed krüptimata, kui te ei kasuta VPN-i ega Tori. Programm krüpteerib ainult DNS-liiklust.
KOKKUVÕTEKS
Artikkel ei olnud väga pikk, kuna programmi ennast on väga lihtne kasutada. Kuid see poleks täielik, kui ma VPN-i ei mainiks. Kui lugesite seda artiklit ja tunnete selle vastu huvi, kuid te pole veel VPN-i pakkuja teenuseid oma andmete krüpteerimiseks kasutanud, siis on aeg seda teha.
VPN-i pakkuja pakub teile andmete edastamiseks turvalise tunneli ja DNSCrypt kaitseb teie DNS-ühendusi. Muidugi on VPN-i pakkujate teenused tasulised, kuid turvalisuse eest peate maksma, eks?
Muidugi saate Tori kasutada, kuid Tor töötab suhteliselt aeglaselt ja, mida iganes võib öelda, pole see VPN - kogu liiklust pole võimalik "torifitseerida". Igal juhul (ükskõik millise valiku valite) on teie DNS-ühendused nüüd turvalised. Jääb üle vaid otsustada liikluse krüptimise viisi üle (kui te pole seda veel teinud).
Viimati värskendatud 30. oktoobril 2016.
Räägime DNSCrypt programmi (sageli klientprogrammi) installimisest ja konfigureerimisest, mis kaitseb DNS-i vastuste võimaliku asendamise eest teie teenusepakkuja poolt teie arvutitest tulevatele päringutele. Selline asendus võib olla üheks võimaluseks blokeerida juurdepääs Rutrekeri foorumile pärast seda, kui kohus on blokeerinud.
Juhised on antud, võttes arvesse asjaolu, et arvutisse on installitud venekeelse lokaliseerimisega Windows 8. Teiste operatsioonisüsteemide puhul võivad toimingud veidi erineda, kuid need erinevad nii kirjelduses kui ka ekraanipiltides vähe.
Selles artiklis loetletud konkreetsed IP-aadressid on kirjutamise ajal kehtivad ja võivad tulevikus muutuda. Ärge kasutage neid ilma nende funktsionaalsust kontrollimata.
Väikesed KKK
Laskumata detailidesse, mida on palju, võib öelda, et DNS-süsteem muudab serverinimed, näiteks rutracker.org, nende IP-aadressideks, näiteks 195.82.146.214. Interneti-suhtlus toimib nii: masinatevahelised ühendused toimuvad nendel aadressidel, mitte erinevate saitide tavapärastel nimedel, mida on inimesel mugavam meeles pidada. Kui soovite pääseda Rutrekeri foorumisse, paluge oma brauseril luua ühendus serveriga, kus see foorum töötab. Kasutades domeeninime rutracker.org, määrab brauser oma IP-aadressi ja loob ühenduse vastava serveriga.
Jällegi lühidalt: see on DNS-server, millega saab standardsel viisil ühenduse luua muudest Interneti-saitide nimede lahendamise programmidest, s.t. stringinimede (nt rutracker.org) teisendamine IP-aadressideks (nt 195.82.146.214). See server ise sellise teisendusega ei tegele, vaid küsib seda antud serverilt. väline server. DNSCrypti kasutamise olemus seisneb selles, et välisserveri päring on krüpteeritud ja kasutab mittestandardset protokolli, mis ei anna pakkujale võimalust DNS-i vastust enda omaga asendada ja raskendab selle programmi kasutamise tuvastamist.
Oluline on mõista: DNSCrypt on programmipaar - klientprogramm, mis krüpteerib teie päringu ja dekrüpteerib saadud vastuse, ning serveriprogramm, mis võtab krüptitud päringu vastu, muudab saidi nime IP-aadressiks ja saadab krüpteeritud vastuse tagasi. . Installime klientprogrammi ja valime juba olemasolevate ja Internetis töötavate serveriprogrammide hulgast paarisserveriprogrammi.
Teie brauser võtab ühendust kohaliku DNS-teenusega ja palub sellel määrata teie IP-aadress soovitud server. Teenus võtab ühendust DNS-serveriga, mille aadress on seadetes määratud võrguühendus arvuti. Ühel või teisel viisil jõuab päring teie teenusepakkuja DNS-serverisse või läbib selle tavalised serverid välise DNS-serveri (nt Yandex.DNS või Google DNS) jõudmiseks. Sel hetkel võib pakkuja süsteem otsustada serveri vastust muuta ja õige IP-aadressi 195.82.146.214 asemel saate näiteks teenusepakkuja serveri IP-aadressi, millega ühenduse loomisel näete lehte teie brauseris blokeeriva teabega. Või võib teenusepakkuja tagastada vale aadressi, muutes sellega ühenduse loomise üldse võimatuks. Pealegi, sinu kohalik teenindus DNS jätab teenusepakkuja vastuse õigeks ja jätkab selle kasutamist järgmistel katsetel sama saidiga ühendust luua, kuni sellise vastuse kehtivusaeg lõpeb. Veel üks ebameeldiv hetk Võib juhtuda, et teenusepakkuja märgib fakti, et küsisite blokeeritud saidi nime.
Seadistame oma arvutid nii, et välise DNS-serveri päringud krüpteeritakse ja need luuakse teistmoodi. Seega ei saa teenusepakkuja oma vastuseid asendada ega väljastada oma vastuseid.
Konfigureerime arvuti kui probleemi lihtsaima lahenduse, kuigi õigem oleks teha vastavad muudatused seadmes, mis tagab kõikidele tarbijatele Interneti-juurdepääsu - arvutid, tahvelarvutid, nutitelefonid jne, näiteks ruuteris. paigaldatud korterisse. Kui teil on võimalus just seda teha, valige see tee.
Graafilised kestad
DNSCrypt programmil endal on ainult konsooli liides, mis ei sobi kõigile. Neid on vähemalt kolm abiprogrammid, haldades seda graafilise kesta kaudu ja nüüd räägime teile neist kõigist. Mugavuse huvides salvestage fail dnscrypt-winclient.exe samasse kataloogi, kuhu installisite DNSCrypti, ja seejärel käivitage see administraatorina (kuidas seda on kirjeldatud kirjelduses sammud 4). Kui nõustute süsteemi hoiatusega programmi administraatoriõigustega käivitamise kohta, näete WinClienti põhiakent. Minge vahekaardile "Config".
Sõltuvalt sellest, kas teil juba töötab DNSCrypti klient, erinevad mõned sildid alloleval pildil näidatust. vasak nupp kuvatakse "Install" (DNSCrypt pole installitud või ei tööta) või "Desinstalli" (DNSCrypt töötab praegu) ja parem nupp, vastavalt "Start" või "Stop". Selles aknas saate teha samu samme, mida tegite põhiosas: valige endale sobiv DNSCrypt server (rippmenüüst "Vali pakkuja") ja käivitage oma klient sobivate seadistustega. Klõpsates nupul "Install", installite kliendi kui Windowsi teenus ja uuesti nupul klõpsates kustutate selle teenuse. Klõpsates "Start" / "Stopp", käivitate ja peatate kliendi sisselülitamise tavaline režiim, näiteks kui te pole kindel valitud DNSCrypt-serveri funktsionaalsuses ja soovite selle toimimise kontrollimiseks klienti ajutiselt käivitada.
Programmi ainus puudus hetkel on see, et käivitamisel ei määra see teie valitud DNSCrypt-serverit ja valib alati loendist esimese elemendi saadaolevad serverid(see on võetud samast failist dnscrypt-resolvers.csv). Seda silmas pidades saate oma DNSCrypti klienti hallata mugavamalt kui konsoolis.
DNSCrypt Windowsi teenusehaldur
Teine graafiline kest on DNSCrypt Windows Teenindusjuht. Funktsionaalselt ei erine see peaaegu üldse DNSCrypt WinClientist, kuid on kerge eelis: see näitab õigesti teie valitud DNSCrypt-serverit.
Ülaosas näete kõigi teie loendit võrguliidesed, valige see, mille kaudu pääsete Internetti. Allpool on nimekiri DNS-serverid Krüptige failist dnscrypt-winclient.exe ("Valige pakkuja") ja valige protokoll ("Protokoll"), millega klient saadab serverisse DNS-päringuid; valige "UDP". Serverite loendi all on programmi põhinupp, mis käivitab ("Luba") või peatab ("Keela") DNSCrypti Windowsi teenusena. Lõpuks näete akna allosas praegune olek DNSCrypt - see töötab (roheline märk "lubatud") või peatub (punane "keelatud" märk). Kirja suurus on valitud halvasti ja osa sõnast on ära lõigatud.
Kui olete teenuse konfigureerinud ja selle käivitanud, saate programmi akna sulgeda.
meeldib
meeldib
Säuts
Sissejuhatus
Ma räägin teile programmist, mida olen kasutanud juba aastaid. See paraneb veidi võrgu turvalisus, kaitstes saidi võltsimise eest, kui töötate läbi ebaturvalise Wi-Fi võrgud.
Süveneda tehnilised üksikasjad Ma ei tee seda. Ma räägin teile lühidalt probleemi olemusest, mida hakati lahendama alles aastal viimastel aastatel 5, kuid täna saate end DNSCryptiga kaitsta.
Ebaturvalised DNS-päringud
Seadmetevaheliseks suhtlemiseks kasutatakse TCP/IP andmeedastusmeetodit. See ei ole protokoll ega programmide kogum, vaid kontseptsioon (mudel), kuidas see suhtlus peaks toimuma.
TCP/IP-l on palju puudusi, kuid kuna mudel on “plastik”, siis on seda enam kui 40-aastase eksisteerimise jooksul paigatud ja täiustatud. Näiteks selleks, et keegi ei näeks, mida te saitidele sisestate ja mida vastuseks saate, on paljud saidid massiliselt üle läinud krüpteeritud protokollile.
Kahjuks on TCP/IP-s endiselt palju turvaauke. Üks valusaid kohti on domeeninimesüsteem ( D omain N ame S süsteem, DNS).
Kui avate sisse aadressiriba saidil, peab arvuti teadma, millisele serverile päring saata. Selleks võtab ta ühendust DNS-serveritega, mis salvestavad kirjed selle kohta, millise serveri digitaalse IP-aadressi poole pöörduda, et soovitud leht kätte saada.
Probleem on selles arvutid usaldavad DNS-servereid tingimusteta. Kui ühendate avalik WiFi võrku kohvikus, mille omanik kasvatas oma server valeaadresside korral on võimalus, et VKontakte'i asemel avate paroole koguva peibutusvahendi.
Nimeserverite päringuid saab kaitsta mitmel viisil, kuid operatsioonisüsteemid neid ei kasuta. Peate OS-i ise eraldi programmide abil muutma.
Lihtne DNSCrypt
Lihtne DNSCrypt võimaldab teil lihtsalt ja lihtsalt muuta võrgukaardi sätteid nii, et kõik päringud läheksid DNS-serveritesse DNSSEC tugi. See tehnoloogia võimaldab vältida IP-aadressi võltsimist. Boonusena hakatakse kasutama ainult privaatsust austavaid nimeservereid, s.t. kasutaja taotlusi ei salvestata.
Programmi on lihtne paigaldada. Peaasi on valida õige 32- või 64-bitine versioon, olenevalt teie Windowsi bitisügavusest. Biti sügavust saab vaadata jaotises Juhtpaneel – Süsteem (Windows 10 puhul – Seaded – Süsteem – Teave).
Pärast installimist ja töölaua otsetee kaudu käivitamist pole seadeid vaja muuta. Vajutage lihtsalt nuppu "Rakenda."
Näete, et üksuse "DNSCrypt Service" lüliti on seatud rohelisele "Sees" asendile. See tähendab, et see algas Windowsis uus teenus, mille põhiolemus on toimida puhverserverina kõigi DNS-i päringute jaoks, suunates need ümber turvalised serverid(nende loend on vahekaardil Lahendajad; seal ei pea te midagi puudutama).
Siis peate lihtsalt klõpsama kõigil võrgukaardid, mis on nähtavad akna allosas, nii et paremas ülanurgas kuvatakse neile linnuke.
See on kõik! Kaitse taotlemine toimib kohe. Programm töötab iseseisvalt.
Kui olete kogenud kasutaja ja soovite kontrollida, kas DNSCrypt teie arvutis töötab, avage võrguühenduse TCP/IPv4 protokolli atribuudid. DNS-server peab olema kohalik – 127.0.0.1.
Kui veebisaidid avanevad nimeserveri 127.0.0.1 kasutamisel, töötab utiliit dnscrypt-proxy, keegi ei kirjuta teie päringuid ja pakkuja ei jälgi päringuid.
Kustutatud programm, nagu kõik teised, on juhtpaneeli kaudu.
DNSCypt ≠ täielik privaatsus
Ärge ajage DNS-i krüptimist segamini kogu teie ja veebisaitide vahelise liikluse krüptimisega.
DNSCrypt aitab
- kaitsta end ründajate DNS-serverite võltsimise eest,
- DNS-i päringute krüptimine.
Utiliit ei aita
- säilitada privaatsus Internetis,
- pääsete juurde teie riigis blokeeritud saitidele,
- kaitsta võltsimise eest, kui seda redigeeritakse hosts fail arvutis.
Kui olete mures privaatsusprobleemide pärast, on DNSCrypt ainult toetav tööriist. Sest anonüümne surfamine kasutatakse Internetis VPN-tehnoloogiad ja/või Tor, siis pakub DNS-i krüptimine täiendavat kaitset juhuks, kui mõni teie arvutis olev programm nõuab VPN-ist mööda minnes domeeni IP-aadressi.
Kui kasutate DNSCypti ilma VPN-ita, näeb pakkuja ikkagi, et pääsete juurde sellise ja sellise IP-ga serverile ning kui sama IP-aadressiga serveris on mitu saiti, saab ta kindlaks teha, milline neist. sa oled külas see saab korda kasutades päringu analüüsi ( Serveri sisestus Nime indikaator edastatakse selges tekstis isegi HTTPS-i kasutamisel).
Muud operatsioonisüsteemid
DNS-i krüptimine peaks vaikimisi töötama mis tahes operatsioonisüsteemi. Kuid seda funktsiooni seal pole! Ei Windows, Linux ega Android ei toeta DNSCrypti ega sarnast tehnoloogiat.
Halduskorporatsioon domeeninimed ja IP-aadressid (ICANN) valmistuvad asendama krüptograafilised võtmed DNS-serverite kaitse 11. oktoober. Kui midagi läheb valesti, on miljonitel kasutajatel Internetiga probleeme.
Adresseerimissüsteem World Wide Web on loodud nii, et me ei pea meeles pidama saitide digitaalset IP-d – piisab, kui teada URL-i loomulik keel(näiteks sait 80.93.184.195 asemel). DNS-server (ingliskeelsest domeenist Nimesüsteem) täidab meie eest tõlkija ülesande ja määrab, millist veebiressurssi me otsime, sisestades selle või teise aadressi või klõpsates otsingumootori tagastusreal.
Pärast seda, kui Internetist sai äriplatvorm, kasvas iga aastaga nende küberpetturite ohvrite arv, kes püüdsid kinni kasutaja päringu DNS-serverisse ja suunasid selle soovitud saidi asemel ümber võltsile, mis oli mõnikord visuaalselt originaalist eristamatu. . Seetõttu võttis ICANN 2010. aastal kasutusele võtmesüsteemi KSK (Key Signing Key) – domeeninimesüsteemi (DNS Security ehk DNSSEC) turvalaiendused, mille väljavahetamine oli ammu ootamas.
DNS-i juurserveri tsoonid
Allikas: Wikipedia.
Võtme kuupäev
KSK-d kasutatakse lisakaitse kasutaja taotlused DNS-süsteem. Need installitakse konfiguraatorisse (usaldusankur) juur- (valideerivad lahendajad) ja kohalike (rekursiivsed lahendajad) domeenitsoonide serveritesse ning tagavad vastavuse punktis määratletule. URL-i taotlus ehtne IP-aadress. Määruste kohaselt tuleb KSK-sid välja vahetada iga viie aasta tagant. Kuid kuna USA valitsuse volitused domeeninimesid hallata on aegunud ja paljud suured operaatorid Me ei olnud valmis ja otsustasime mitte kiirustada.
Võtmete uuendamisest hakati tõsiselt rääkima 2016. aasta juulis ja üleeile teatas korporatsioon valmisolekust number üks – deaktiveerimine on planeeritud 11. oktoobriks. praegune versioon KSK ja üleminek uuele. Kuna operaatoritel on lahendaja konfiguraatorite värskendamiseks olnud piisavalt aega, peaks võtmemuutus olema automaatne ja ülejäänud maailmale nähtamatu. Pealegi pole kahel kolmest Interneti-kasutajast DNSSEC-iga üldse seost.
Ohutus riskide hinnaga
ICANNi enda sõnul on aga võimalus, et mõni lahendaja jätab millegipärast vanad võtmed usaldusankrusse – sellisel juhul ei saa DNS-server lihtsalt aru, millist saiti temalt küsitakse. Samas võtme valideerimise iseärasustest tulenevalt juur domeeni tsoon niinimetatud autoriteetsed DNS-serverid (vastutavad esimese järgu domeenide eest, näiteks zone.ru), võivad tagajärjed ilmneda kahe päeva pärast.
ICANNi krüptoametnikud hoiatavad, et 750 miljoni tavakasutaja jaoks võib see põhjustada ettearvamatuid tõrkeid lehele juurdepääsuks brauseris (nt serveri rike ja SERVFAIL) või saidi laadimine ilma piltideta, tõrkeid meilivahetuses, katkisi sõnumeid ja võrgu jõudluse üldine aeglustumine. Ähvardavad tõsisemad tagajärjed automatiseeritud süsteemid ja DNSSEC-iga ühendatud teenused – katkeb mitte ainult aja sünkroonimine, vaid kogu elektrooniline dokumendivoog.
Lisaks eeldab ICANN kogu DNS-i hierarhias arvutuskoormuse märkimisväärset suurenemist, kuna vanemate võtmetega operaatorite KSK värskendustaotlused suurenevad. Olukorra monitooringu tulemused lubatakse avaldada korporatsiooni kodulehel.
