Что случилось 30 января с .RU?
30 января многие заметили, что сайты, размещенные на доменах в зоне .RU, стали медленно открываться или не открывались вообще. Причиной этого стал технический сбой, произошедший при подписании новым ключом шифрования данных зоны .RU, которые передавались в реестр корневой зоны.
Система DNS преобразует имена сайтов в IP-адреса. Компьютер запрашивает ближайший DNS-сервер, который сообщает ему адрес нужного сайта. Однако на каждом DNS-сервере нет списка всех адресов интернета. Поэтому серверы передают запрос по цепочке до главных серверов нужной доменной зоны — в нашем случае зоны .RU. Список корневых серверов всех доменных зон хранится в корневом реестре интернета.
Протокол DNSSEC был создан для устранения уязвимостей системы DNS. Он при помощи криптографических ключей позволяет проверять подлинность ответа DNS-сервера и исключает возможность подмены адресов как на уровне отдельных доменов, так и всей зоны.
В результате произошедшего 30 января сбоя часть данных, подписанных новым ключом, не была принята, после чего DNS-серверы по всему миру перестали "доверять" ответам корневых серверов зоны .RU, поскольку в реестре они потеряли достоверность. Можно сказать, что на сайтах в зоне .RU заклинили "замки", и из-за этого их стало невозможно открыть.
Несмотря на вечернее время, проблема была достаточно быстро устранена, эксперты Технического центра интернет исправили и передали в корневой реестр правильные данные. После чего было запущено обновление нашей доменной зоны в реестре. Так же, как обновляются приложения в вашем телефоне, только в масштабе всего домена .RU по всей стране.
В настоящее время специалисты Технического центра интернет и MSK-IX досконально изучают, что именно и как произошло. Но в целом уже понятно, что причиной сбоя стала некорректная работа программного обеспечения, реализующего механизм подписи файла с данными зоны .RU.
Проблемыне места в настройках DNSSEC — действительно существуют. За все время использования этого протокола произошло около 200 подобных случаев, и некоторые из них "выключали" национальные доменные зоны целиком.
Только в прошлом году такие проблемы были у Австралии (доменная зона .au), Новой Зеландии (доменная зона .nz), Мексики (доменная зона .mx) и Венесуэлы (доменная зона .ve), а годом ранее — еще у десяти национальных доменов. На международных мероприятиях, в том числе на международных конференциях ICANN, организации, которыея управляют адресным интернет-пространством, технические эксперты из разных стран мира регулярно разбирают такие случаи, их причины и способы предотвращения.
Для объяснения причин подобных сбоев, необходимо понимать, что криптография — один из самых проблемных разделов технологий. Внутри нее множество стандартов, которые плохо взаимодействуют между собой, и проблемы с подписью чего-либо происходят постоянно. DNSSEC, в свою очередь, — мера вынужденная, так как оригинальная система DNS, как и большая часть интернета, не имеет вообще никаких механизмов защиты от взлома. То есть DNSSEC более безопасна и защищена, но при этом, как всякая относительно новая технология, пока неидеально отлажена.
Непроработанность DNSSEC во многом связана с тем, что пока она внедрена далеко не у всех провайдеров, хотя используется на уровне корневого реестра, то есть во всех доменах верхнего уровня. И тут возникает своего рода замкнутый круг, однако специалисты во всем мире работают над тем, чтобы сделать технологию еще лучше и надежнее.
После произошедшего сбоя, специалисты Технического центра интернет и MSK-IX ведут ревизию внутренних регламентов работы с DNSSEC. Также принимаются дополнительные меры для улучшения процессов ротации ключей и повышения надежности используемого программного обеспечения, чтобы избежать подобных инцидентов в будущем.
При этом важно, чтобы не только Технический центр интернет и MSK-IX, но и остальные провайдеры понимали, что обеспечение бесперебойной работы в условиях инцидентов и защита интересов пользователей являются важнейшей задачей, и нужно быть более активными в подключении к резервным системам
Провайдеры должны брать пример с энергетиков, которые в случае аварий мгновенно переключают энергопотоки. Тем более что резервный механизм DNS в нашей стране есть — это недавно созданная Национальная система доменных имен (НСДИ). Важно отметить, что работоспособность для абонентов операторов, своевременно подключившихся к НСДИ, была обеспечена уже через час, для всех остальных — через 2,5 часа.
Источник: tass.ru