Причиной сбоя в работе Рунета стало несовершенство программного обеспечения DNSSEC, заявили в Координационном центре доменов .ru/.рф.
30 января была замечена недоступность сайтов в зоне .ru. Как объяснили в КЦ доменов .ru/.рф, пользователи интернета столкнулись с оплошностями DNS-резолвинга доменов, размещенных в зоне .ru, причиной которых стал сбой при обновлениях ключа расширения безопасности системы названий сайтов (DNSSEC).
Минцифры: техническая проблема, вызвавшая недоступность сайтов в зоне .ru, устранена
Отмечается, что после обнаружения сбоя обновленные ключи были отозваны, и дееспособность зоны .ru в полном объеме восстановилась, что заняло, включая распространение данных по системе DNS, около двух часов.
«В настоящий момент расследование инцидента длится, однако уже сейчас понятно, что главной причиной сбоя стало несовершенство программного обеспечения, используемого при создании ключей шифрования», - говорится в заявлении организации.
В КЦ доменов .ru/.рф добавили, что как и любое иное технологическое решение, DNSSEC требует усовершенствования с течением времени, чтобы исправить обнаруживаемые оплошности работы. Также подчеркивается, что DNSSEC как средство обеспечения безопасности пользователей интернета сработало так, как задумано: была своевременно заблокирована работа серверов DNS, не подтвердивших подлинность своего ответа на запросы разрешения доменных имен.
DNSSEC - молодая по меркам интернета технология, и за 15 лет ее применения мировой практике произошло более 200 аналогичных случаев, а за прошедшие три года более 20 раз. Так, в начале марта 2022 года из-за оплошности DNSSEC более чем на 12 часов выпал из сети интернет национальный домен Фиджи .FJ. Из-за такого же типа оплошности в настройках DNSSEC в первых числах 2022 года на несколько часов оказались отключены от сети порядка 8 тысяч имен в национальном домене Швеции .SE, причем регистратура .SE первой внедрила домашний очаг DNSSEC - еще в 2005 году.
В КЦ доменов .ru/.рф напомнили, что использование DNSSEC при обновлении реестра корневой зоны интернета является требованием IANA - организации, которая отвечает за распределение всех имен и номеров, используемых в интернет-протоколах.
Ситуация также осложнилась тем, что значительная часть российских провайдеров оказалась, фактически, не подключена к Национальной системе названий сайтов (НСДИ), созданной на случай необходимости реагирования на разные угрозы. НСДИ полностью сохранила свою работоспособность, однако многие провайдеры не смогли перейти на нее даже после рассылки поручения Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП ГРЧЦ), и нормализовали деятельность только после возобновленья штатной работы зоны RU.
Протокол DNSSEC (англ. Domain Name System Security Extensions) - набор расширений протокола DNS, позволяющий проверить за счет цифровой подписи подлинность ответа DNS-сервера. DNSSEC используется для обеспечения защищенности, чтобы исключить возможность подмены адресов как на уровне отдельных доменов, так и всей зоны и используется для обмена данными между держателями реестров доменных зон верхнего уровня и реестром корневой зоны интернета.
Фото: Freepik