Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC

Новости мира unix. Хотите узнать секрет вечного счастья? Откройте страницу 246.
Ответить
acolyte
Аватара пользователя
Сообщения: 3252
Зарегистрирован: 20.08.2022

#

Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC
Дата публикации:Wed, 31 Jan 2024 11:13:20 +0300




30 января в 18:20 (MSK) пользователи столкнулись с массовым сбоем определения хостов в доменной зоне RU, вызванный ошибкой при смене ключей, используемых для заверения достоверности зоны RU через DNSSEC. В результате инцидента на DNS-серверах, применяющих DNSSEC для проверки достоверности данных, перестали определяться все домены в зоне ".ru". Проблема затронула только пользователей, использующих DNS-резолверы провайдеров или публичные DNS-сервисы, такие как 8.8.8.8, верифицирующие достоверность запросов при помощи DNSSEC. Пользователей DNS-резолверов, на которых DNSSEC отключён, не пострадали.




Произошедшее напоминает прошлогодний инцидент с регистратором InternetNZ, отвечающим за доменную зону ".NZ", который привел к сбою в разрешении доменных имён в зоне ".nz" из-за ошибки при ротации KSK-ключей (Key Signing Key), применяемых для цифровой подписи записей DNSKEY, содержащих ключи для подписи доменной зоны (ZSK, Zone Signing Key). В случае с InternetNZ ошибка была связана с изменением формата ключей при переходе на новую информационную систему регистратора. Причины инцидента в зоне RU пока не детализированы - Координационный центр доменов RU лишь в общих чертах подтвердил, что проблема связана с перенастройкой DNSSEC.




Судя по внешним проявлениям, сбой произошёл в результате попытки замены ключа, используемого для верификации зоны RU. Данный ключ является корнем доверия для остальных ключей, применяемых в доменах второго уровня, и, в свою очередь, использует ключ домена "." в качестве вышестоящего для подтверждения своего доверия. 26 января в настройках DNSEC зоны RU в дополнение к основному ключу с идентификатором 44301 появился дополнительный ключ 52263.

ИзображениеИзображение




Вчера примерно в 18:20 новый ключ был задействован для верификации записей в зоне RU, но после перехода на новый ключ из-за ошибки перестала проходить проверка подлинности.
Изображение


Подпись старым ключом была возвращена около 21 часа (MSK), а первый корректный ответ был зафиксирован сервисом dnsviz.net в 22:07 (MSK). Сбойные настройки присутствовали примерно два с половиной часа, но из-за оседания ошибочных записей в кешах DNS-серверов для полного восстановления требуется дополнительное время, если принудительно не очистить кэш на рекурсивных DNS-серверах. Некоторые провайдеры решили проблему более оперативно и радикально, временно отключив в настройках своих резолверов верификацию через DNSEC.

ИзображениеИзображение


Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=60527

Жизнь за Нер'зула!

Ответить