30-январда саат 18:20да (MSK) колдонуучулар DNSSEC аркылуу RU аймагынын жарактуулугун текшерүү үчүн колдонулган ачкычтарды өзгөртүүдө катадан улам RU домен зонасында хостту аныктоодо чоң ката кетиришти. Окуянын натыйжасында “.ru” зонасында бардык домендер DNSSEC аркылуу маалыматтардын аныктыгын текшерүү үчүн DNS серверлеринде табылган жок. Көйгөй ISP DNS чечүүчүлөрүн же DNSSEC аркылуу сурамдардын тууралыгын текшерген 8.8.8.8 сыяктуу коомдук DNS кызматтарын колдонгон колдонуучуларга гана таасирин тийгизди. DNSSEC өчүрүлгөн DNS чечүүчү колдонуучуларга таасирин тийгизген жок.
Бул окуя өткөн жылы .NZ домен аймагы үчүн жооптуу каттоочу InternetNZ менен болгон окуяны эске салат, ал маселени чечүүнүн ийгиликсиздигине алып келген. домен аттары ".nz" зонасында окуя Зонага кол коюу ачкычын (ZSK) камтыган DNSKEY жазууларына санариптик кол коюу үчүн колдонулган KSK (ачкычка кол коюу ачкычы) ачкычтарын айландыруудагы катадан улам болгон. InternetNZ учурунда ката каттоочунун жаңы маалымат системасына өтүү учурунда ачкыч форматынын өзгөрүшүнө байланыштуу болгон. .RU зонасындагы окуянын себеби азырынча тактала элек — .RU домен координациялоо борбору көйгөй DNSSECтин кайра конфигурациясына байланыштуу экенин жалпысынан гана тастыктады.
Тышкы көрүнүштөр боюнча, ийгиликсиздик RU зонасын текшерүү үчүн колдонулган ачкычты алмаштыруу аракетинин натыйжасында келип чыккан. Бул ачкыч экинчи деңгээлдеги домендерде колдонулган башка ачкычтар үчүн ишенимдин тамыры болуп саналат жана өз кезегинде "" домен ачкычын колдонот. ишенимин ырастоо үчүн жогору турган. 26-январда RU зонасынын DNSEC жөндөөлөрүндө 44301 идентификатору бар негизги ачкычтан тышкары 52263 кошумча ачкычы пайда болду.
Кечээ болжол менен саат 18:20да жаңы ачкыч RU аймагындагы жазууларды текшерүү үчүн колдонулган, бирок жаңы ачкычка өткөндөн кийин катадан улам аутентификация болбой калды.
Эски ачкыч менен кол саат 21:22де (MSK) кайтарылган жана биринчи туура жооп dnsviz.net кызматы тарабынан саат 07:XNUMXде (MSK) жазылган. Бузулган орнотуулар болжол менен эки жарым саат бою болгон, бирок DNS серверлеринин кэштеринде ката жазуулардын топтолушуна байланыштуу, рекурсивдүү DNS серверлериндеги кэш мажбурлап тазаланмайынча, толук калыбына келтирүү үчүн кошумча убакыт талап кылынат. Кээ бир провайдерлер чечүүчүлөрдүн жөндөөлөрүндө DNSSEC аркылуу текшерүүнү убактылуу өчүрүү менен маселени тезирээк жана түп тамырынан бери чечишти.
Source: opennet.ru
