Поделиться
Эксперты: Причиной сбоя в работе Рунета стало несовершенство программного обеспечения DNSSEC
Вчера, 30 января, многие пользователи интернета столкнулись с ошибками DNS-резолвинга доменов, размещенных в зоне .RU, причиной которых стал сбой при обновлениях ключа расширения безопасности системы доменных имен (DNSSEC). Как пояснили в КЦ доменов .RU/.РФ, причиной стали ошибки в механизме, отвечающем за создание ключей шифрования.
"Возникшая коллизия ключей, в причинах которой в настоящее время продолжают разбираться технические специалисты Технического центра интернет (ТЦИ) и MSK-IX, привела к временной недоступности зоны .RU для части интернет-пользователей", - говорится в заявлении, опубликованном на сайте организации.
Там отметили, что после обнаружения сбоя обновленные ключи были отозваны, и работоспособность зоны .RU в полном объеме восстановилась, что заняло, включая распространение данных по системе DNS, около двух часов. "Это удалось сделать благодаря слаженной работе специалистов по устранению технического сбоя, что в итоге позволило оперативно восстановить работоспособность зоны .RU в полном объеме с валидацией DNSSEC", - говорят в КЦ доменов .RU/.РФ.
В заявлении подчеркивается, что в настоящее время расследование инцидента продолжается, однако уже сейчас понятно, что главной причиной сбоя стало "несовершенство программного обеспечения, используемого при создании ключей шифрования".
DNSSEC требует усовершенствования с течением времени, чтобы исправить обнаруживаемые ошибки работы. Эксперты полагают, что в целом DNSSEC как средство обеспечения безопасности пользователей интернета сработало так, как задумано: "была своевременно заблокирована работа серверов DNS, не подтвердивших подлинность своего ответа на запросы разрешения доменных имён".
Стоит напомнить, что DNSSEC - достаточно новая технология, и за 15 лет ее применения мировой практике произошло более 200 подобных случаев, а за последние три года более 20 раз, включая временное отключение домена .AU в сентябре 2023 года. В марте 2022 года из-за ошибки DNSSEC более чем на 12 часов выпал из глобальной сети национальный домен Фиджи .FJ. Из-за той же ошибки в настройках DNSSEC в начале 2022 года на несколько часов оказались отключены от сети порядка 8 тысяч имен в национальном домене Швеции .SE, причем регистратура .SE первой внедрила у себя DNSSEC - еще в 2005 году.
"Напомним, что использование DNSSEC при обновлении реестра корневой зоны интернета является требованием IANA, организации, которая отвечает за распределение всех имён и номеров, которые используются в интернет-протоколах", - отмечают в КЦ доменов .RU/.РФ.
Ситуация осложнилась тем, что значительная часть российских провайдеров оказалась, фактически, не подключена к Национальной системе доменных имен (НСДИ), созданной на случай необходимости реагирования на различные угрозы.
При этом, НСДИ полностью сохранила свою работоспособность, однако многие провайдеры не смогли перейти на нее даже после рассылки поручения Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП ГРЧЦ), и нормализовали деятельность только после восстановления штатной работы зоны RU.
Как напомнили в Роскомнадзоре, для настройки подключения к публичным серверам (резолверам) НСДИ оператору связи необходимо изменить и/или добавить в список DNS-серверов для конечного клиента адреса НСДИ: 195.208.4.1 и 195.208.5.1. Любой из этих адресов может быть использован в качестве основного или дополнительного DNS-сервера.
