Сбой в работе Рунета. Мы не виноваты!

Логотип компании
31.01.2024
Сбой в работе Рунета. Мы не виноваты!

Shutterstock.ai

Как утверждают специалисты Технического центра интернет (ТЦИ) и MSK-IX, несовершенство программного обеспечения DNSSEC, и возникшая вследствие этого коллизия ключей, привела к временной недоступности зоны .RU для части интернет-пользователей.

После обнаружения сбоя обновленные ключи были отозваны, и работоспособность зоны .RU в полном объеме восстановилась, что заняло, включая распространение данных по системе DNS, около двух часов. Это удалось сделать благодаря слаженной работе специалистов по устранению технического сбоя, что в итоге позволило оперативно восстановить работоспособность зоны .RU в полном объеме с валидацией DNSSEC.

В настоящее время расследование инцидента продолжается, однако уже сейчас понятно, что главной причиной сбоя стало несовершенство программного обеспечения, используемого при создании ключей шифрования. Как и любое другое технологическое решение, DNSSEC требует усовершенствования с течением времени, чтобы исправить обнаруживаемые ошибки работы. Стоит отметить, что DNSSEC как средство обеспечения безопасности пользователей интернета сработало так, как задумано: была своевременно заблокирована работа серверов DNS, не подтвердивших подлинность своего ответа на запросы разрешения доменных имён.

DNSSEC – молодая по меркам интернета технология, и за 15 лет ее применения мировой практике произошло более 200 подобных случаев, а за последние три года более 20 раз, включая временное отключение домена .AU в сентябре 2023 года. В марте 2022 года из-за ошибки DNSSEC более чем на 12 часов выпал из глобальной сети национальный домен Фиджи .FJ. Из-за той же ошибки в настройках DNSSEC в начале 2022 года на несколько часов оказались отключены от сети порядка 8 тысяч имен в национальном домене Швеции .SE, причем регистратура .SE первой внедрила у себя DNSSEC – еще в 2005 году. Напомним, что использование DNSSEC при обновлении реестра корневой зоны интернета является требованием IANA, организации, которая отвечает за распределение всех имён и номеров, используемых в интернет-протоколах.

Для абонентов провайдеров, подключенных к Национальной системе доменных имен (НСДИ), сбой был практически незаметен: НСДИ полностью сохранила свою работоспособность. Но некоторые провайдеры не смогли перейти на нее даже после рассылки поручения Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП ГРЧЦ), и нормализовали деятельность только после восстановления штатной работы зоны RU.

Протокол DNSSEC (англ. Domain Name System Security Extensions) – набор расширений протокола DNS, позволяющий проверить с помощью цифровой подписи подлинность ответа DNS-сервера. DNSSEC используется в целях безопасности, чтобы исключить возможность подмены адресов как на уровне отдельных доменов, так и всей зоны и используется для обмена данными между держателями реестров доменных зон верхнего уровня и реестром корневой зоны интернета.

Читайте также
Одной из самых критичных инженерных систем центра обработки данных (ЦОД) можно назвать систему электроснабжения. На нее вместе с системой бесперебойного питания может приходиться до 25% от общей стоимости. Поэтому, прежде чем приобрести то или иное решение, бизнес тщательно взвешивает не только его преимущества, но и недостатки, а также связанные с ним риски.

Источник: cctld.ru