Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC31.01.2024 11:30

30 января в 18:20 (MSK) пользователи столкнулись с массовым сбоем определения хостов в доменной зоне RU, вызванный ошибкой при смене ключей, используемых для заверения достоверности зоны RU через DNSSEC. В результате инцидента на DNS-серверах, применяющих DNSSEC для проверки достоверности данных, перестали определяться все домены в зоне ».ru». Проблема затронула только пользователей, использующих DNS-резолверы провайдеров или публичные DNS-сервисы, такие как 8.8.8.8, верифицирующие достоверность запросов при помощи DNSSEC. Пользователей DNS-резолверов, на которых DNSSEC отключён, не пострадали.

Произошедшее напоминает прошлогодний инцидент с регистратором InternetNZ, отвечающих за доменную зону ».NZ», приведший к сбою в разрешении доменных имён в зоне ».nz» из-за ошибки при ротации KSK-ключей (Key Signing Key), применяемых для цифровой подписи записей DNSKEY, содержащих ключи для подписи доменной зоны (ZSK, Zone Signing Key). В случае с InternetNZ ошибка была связана с изменением формата ключей при переходе на новую информационную систему регистратора. Причины инцидента в зоне RU пока не детализированы — Координационный центр доменов RU лишь в общих чертах подтвердил, что проблема связана с перенастройкой DNSSEC.

Судя по внешним проявлениям, сбой произошёл в результате попытки замены ключа, используемого для верификации зоны RU. Данный ключ является корнем доверия для остальных ключей, применяемых на доменах второго уровня, и, в свою очередь, использует ключ домена ».» в качестве вышестоящего для подтверждения своего доверия. 26 января в настройках DNSEC зоны RU в дополнение к основному ключу с идентификатором 44301 появился дополнительный ключ 52263.

CFD0C5CECEC5D4_1706688452.pngCFD0C5CECEC5D4_1706688498.png

Вчера примерно в 18:20 новый ключ был задействован для подписи записей в зоне RU, но после перехода на новый ключ из-за ошибки перестала проходить проверка подлинности.

CFD0C5CECEC5D4_1706688625.png

Подпись старым ключом была возвращена около 21 часа (MSK), а первый корректный ответ был зафиксирован сервисом dnsviz.net в 22:07 (MSK). Сбойные настройки присутствовали примерно два с половиной часа, но из-за оседания ошибочных записей в кешах DNS-серверов для полного восстановления требуется дополнительное время, если принудительно не очистить кэш на рекурсивных DNS-серверах. Некоторые провайдеры решили проблему более оперативно и радикально, временно отключив в настройках своих резолверов верификацию через DNSEC.

CFD0C5CECEC5D4_1706688689.pngCFD0C5CECEC5D4_1706688792.png



Источник: http://www.opennet.ru/opennews/art.shtml? num=60527

©  OpenNet