Minden frissítés rejt magában kockázatot, s ha egy rendszert, hálózatot upgrade-elnek, akkor különösen, hát még ha arról van szó, hogy a világ teljes internetes rendszerét érinti egy szoftverfrissítés, ahogy ez május 5-én, magyar idő szerint este hétkor fog megtörténni, amikor az internet hierarchiájában kiemelkedő fontosságú 13 root névszerver szoftvereit  frissítik.

Az upgrade-et a doménnevek menedzseléséért felelős szervezet, az ICANN, az amerikai kormányzat és a tanúsítványkezeléssel foglalkozó Verisign vezényli le, s ez lesz az első fázisa egy hosszabb, tavaly decemberben elkezdett implementálási folyamatnak, melynek célja az internetes forgalom biztonságosabbá tétele. Az új rendszer a tervek szerint élesben július elsejétől fut majd.

A javítás lényege, hogy a névszervereken egy korábban megkezdett folyamat egyik szakaszának zárásaként működésbe lép az úgynevezett DNSSEC (Domain Name System Security Extensions) hitelesítési rendszer tesztüzeme, amely a még a hatvanas években tervezett alapokra épülő világháló egy fontos biztonsági problémáját igyekszik kiküszöbölni: a korábbi „bizalmi elvet”, vagyis hogy a szerverek „megbíznak” egymásban, felváltja egy hitelesítési rendszer, mivel csak akkor fogad el egy adatot érvényesnek a szerver, ha meggyőződött annak valódiságáról. E rendszer bevezetése hallatlanul fontos, ugyanis a mai internet a múlt századi tudományos hálózat koncepciójára épül, amikor a „naiv”, zártkörű összeköttetést feltételező kutatók még nem gondolhattak olyan biztonsági problémákra, melyek ma már mindennaposak, és a kiberbűnözők ki is használják ezeket a gyengeségeket. A leggyakoribb változatai ennek a köztes lehallgatást lehetővé tévő man-in-the-middle (MITM) támadások, amikor a crackerek az üzenetküldési folyamatba ékelődnek be, hogy a felhasználókat egy általuk megadott, a felhasználó számára káros helyre irányítsák – arról nem is beszélve, hogy ez a rendszer a vétlen hibákkal szemben sem nyújt védelmet, ahogy legutóbb láthattuk.

A változást világszerte nagy örömmel fogadták az iparági szereplők, ám sokan megemlítik azt, hogy egy ekkora volumenű váltásnál óhatatlanul előfordulhatnak hibák, leginkább akkor, ha az egyes hálózati alrészeknél az eszközök, illetve a szoftverek nincsenek felkészítve rá. Legutóbb Bruce Tonkin, egy ausztrál hálózati szakember hívta fel rá a figyelmet, hogy azok a rendszerüzemeltetők, akik eddig még nem tették volna meg, sürgősen ellenőrizzék, hogy routereik és tűzfalaik beállításai megfelelnek-e az elvárásoknak

Olyan gondokra utal Tonkin, melyek leginkább a régi eszközöket érinthetik: egy átlagos DNS-kérés általában 512 bájt méretnél kisebb, ám a frissítéskor ennél nagyobb, körülbelül 2 kilobájt méretű adatcsomag érkezik, melyet mérete miatt a rosszul beállított eszközök blokkolhatnak, ugyanis a nagy méretű kérést anomáliaként értelmezik alapbeállításban. Tonkin tapasztalata szerint a szolgáltatók többsége együtt élt a változásokkal, valószínűleg semmiféle katasztrófára nem kell számítani, ám az is szinte biztos, hogy bizonyos helyeken nem tették meg a szükséges lépéseket, így ott átmeneti üzemzavar várható, főként a gondatlan vagy nem napra kész tudással rendelkező vállalati rendszergazdák vakarhatják majd a fejüket, ha május ötödikén hirtelen leválnak az internetről, és fogalmuk se lesz ennek okáról. Az ausztrál itnews cikkében ezért is ajánl Tonkin a szakembereknek olyan online teszteket, melyekkel a rendszergazdák meggyőződhetnek arról, hogy rendszerük képes lesz-e kezelni a szokásosnál nagyobb adatcsomagokat.

Az IT café megkereste a Nemzeti Információs Infrastruktúra Fejlesztési Program (NIIF) szakértőjét, Márai Tamást, hogy a problémáról kérdezzük. Márai nem aggódik az átállás miatt, véleménye szerint a szakemberek felkészültek, de azt sem tartja kizártnak – akárcsak Tonkin –, hogy egyes alhálózatokban akadhatnak problémák.

„A DNSSEC bevezetésével búcsút intünk az eredeti protokollváltozat naiv felfogásának, a névlekérdezésekre adott válaszokat ezentúl csak akkor fogjuk elfogadni, ha megbizonyosodtunk róla, hogy azok megbízható forrásból származnak. Bár a DNSSEC nem tökéletes, és lehet hogy az átállás sem lesz zökkenőmentes, ez egy fontos lépés egy biztonságosabb internet felé” – írta szerkesztőségünknek a megkeresés után buherator.