La 30-an de januaro je la 18:20 ptm (Moskva horo), uzantoj spertis grandegan fiaskon de solviĝo de la gastiganto en la domajna zono .RU, kaŭzitan de eraro dum rotacio de la ŝlosiloj uzataj por kontroli la .RU-zonon per DNSSEC. Rezulte de la okazaĵo, ĉiuj domajnoj en la ".ru"-zono ĉesis solviĝi sur DNS-serviloj, kiuj uzas DNSSEC por kontroli datumojn. La problemo nur influis uzantojn uzantajn provizantajn DNS-solvilojn aŭ publikajn DNS-servojn, kiel ekzemple 8.8.8.8, kiuj kontrolas la validecon de serĉdemandoj per DNSSEC. Uzantoj de DNS-solviloj kun DNSSEC malŝaltita ne estis influitaj.
La okazaĵo memorigas pri la okazaĵo de la pasinta jaro kun InternetNZ, la registristo respondeca pri la domajna zono .NZ, kiu kaŭzis solvomalsukceson. domajnaj nomoj En la zono ".nz", la okazaĵo okazis pro eraro en la rotacio de KSK (Key Signing Key) ŝlosiloj uzataj por ciferece subskribi DNSKEY-rekordojn enhavantajn la Zonan Subskriban Ŝlosilon (ZSK). En la kazo de InternetNZ, la eraro rilatis al ŝanĝo en la ŝlosilformato dum la transiro al la nova informa sistemo de la registristo. La kaŭzo de la okazaĵo en la zono .RU ankoraŭ ne estas detala — la Domajna Kunordiga Centro .RU nur ĝenerale konfirmis, ke la problemo rilatas al DNSSEC-rekonfigurado.
Juĝante laŭ la eksteraj manifestiĝoj, la malsukceso okazis kiel rezulto de provo anstataŭigi la ŝlosilon uzatan por kontroli la .RU-zonon. Ĉi tiu ŝlosilo estas la radiko de fido por aliaj ŝlosiloj uzataj en duanivelaj domajnoj kaj, siavice, uzas la "." domajnan ŝlosilon kiel superan por kontroli sian fidon. La 26-an de januaro, plia ŝlosilo, 52263, estis aldonita al la DNSEC-agordoj por la .RU-zono, aldone al la primara ŝlosilo kun ID 44301.
Hieraŭ je proksimume la 18:20-a posttagmeze, nova ŝlosilo estis uzata por kontroli registrojn en la RU-zono, sed post ŝanĝo al la nova ŝlosilo, aŭtentigo malsukcesis pro eraro.
La subskribo kun la malnova ŝlosilo estis resendita ĉirkaŭ 21:07 (Moskva tempo), kaj la unua ĝusta respondo estis registrita de dnsviz.net je 22:07 (Moskva tempo). La misaj agordoj daŭris dum proksimume du horoj kaj duono, sed pro la eraraj registroj restantaj en la kaŝmemoroj de DNS-serviloj, plena reakiro postulos plian tempon krom se la rekursiaj DNS-serviloj estas perforte forigitaj. Kelkaj provizantoj solvis la problemon pli rapide kaj efike per provizora malŝalto de DNSSEC-konfirmo en siaj solvilaj agordoj.
fonto: opennet.ru
