Вчера, 30 января, многие пользователи интернета столкнулись с ошибками DNS-резолвинга доменов, размещенных в зоне .RU, причиной которых стал сбой при обновлениях ключа расширения безопасности системы доменных имен (DNSSEC).
Возникшая коллизия ключей, в причинах которой в настоящее время продолжают разбираться специалисты Технического центра интернет (ТЦИ) и MSK-IX, привела к временной недоступности зоны .RU для части интернет-пользователей.
После обнаружения сбоя обновленные ключи были отозваны, и работоспособность зоны .RU в полном объеме восстановилась, что заняло, включая распространение данных по системе DNS, около двух часов. Это удалось сделать благодаря слаженной работе специалистов по устранению технического сбоя, что в итоге позволило оперативно восстановить работоспособность зоны .RU в полном объеме с валидацией DNSSEC.
В настоящее время расследование инцидента продолжается, однако уже сейчас понятно, что главной причиной сбоя стало несовершенство программного обеспечения, используемого при создании ключей шифрования. Как и любое другое технологическое решение, DNSSEC требует усовершенствования с течением времени, чтобы исправить обнаруживаемые ошибки работы. Стоит отметить, что DNSSEC как средство обеспечения безопасности пользователей интернета сработало так, как задумано: была своевременно заблокирована работа серверов DNS, не подтвердивших подлинность своего ответа на запросы разрешения доменных имён.
DNSSEC – молодая по меркам интернета технология, и за 15 лет ее применения в мировой практике произошло более 200 подобных случаев, а за последние три года более 20 раз, включая временное отключение домена .AU в сентябре 2023 года. В марте 2022 года из-за ошибки DNSSEC более чем на 12 часов выпал из глобальной сети национальный домен Фиджи .FJ. Из-за той же ошибки в настройках DNSSEC в начале 2022 года на несколько часов оказались отключены от сети порядка 8 тысяч имен в национальном домене Швеции .SE, причем регистратура .SE первой внедрила у себя DNSSEC – еще в 2005 году. Напомним, что использование DNSSEC при обновлении реестра корневой зоны интернета является требованием IANA, организации, которая отвечает за распределение всех имён и номеров, используемых в интернет-протоколах.
Для абонентов провайдеров, подключенных к Национальной системе доменных имен (НСДИ), сбой был практически незаметен: НСДИ полностью сохранила свою работоспособность. Но некоторые провайдеры не смогли перейти на нее даже после рассылки поручения Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП ГРЧЦ), и нормализовали деятельность только после восстановления штатной работы зоны RU.
O DNSSEC
Протокол DNSSEC (англ. Domain Name System Security Extensions) – набор расширений протокола DNS, позволяющий проверить с помощью цифровой подписи подлинность ответа DNS-сервера. DNSSEC используется в целях безопасности, чтобы исключить возможность подмены адресов как на уровне отдельных доменов, так и всей зоны и используется для обмена данными между держателями реестров доменных зон верхнего уровня и реестром корневой зоны интернета.
