30-yanvar kuni soat 18:20 da (Moskva vaqti bilan) foydalanuvchilar .RU domen zonasida DNSSEC orqali .RU zonasini tekshirish uchun ishlatiladigan kalitlarni aylantirishda xatolik tufayli katta hostni aniqlashda nosozlikka duch kelishdi. Hodisa natijasida ".ru" zonasidagi barcha domenlar ma'lumotlarni tekshirish uchun DNSSECdan foydalanadigan DNS serverlarida aniqlashni to'xtatdi. Muammo faqat DNSSEC yordamida so'rovlarning haqiqiyligini tekshiradigan provayder DNS rezolverlaridan yoki 8.8.8.8 kabi ommaviy DNS xizmatlaridan foydalanadigan foydalanuvchilarga ta'sir qildi. DNSSEC o'chirilgan DNS rezolverlaridan foydalanuvchilarga ta'sir ko'rsatilmadi.
Bu hodisa o'tgan yili .NZ domen zonasi uchun mas'ul bo'lgan ro'yxatga oluvchi InternetNZ bilan bo'lgan voqeani eslatadi, bu esa muammoni hal qilishda muvaffaqiyatsizlikka olib keldi. domen nomlari ".nz" zonasida hodisa Zona imzolash kalitini (ZSK) o'z ichiga olgan DNSKEY yozuvlarini raqamli imzolash uchun ishlatiladigan KSK (Kalit imzolash kaliti) kalitlarini aylantirishdagi xato tufayli yuzaga keldi. InternetNZ holatida xatolik registratorning yangi axborot tizimiga o'tish paytida kalit formatining o'zgarishi bilan bog'liq edi. .RU zonasidagi hodisaning sababi hali batafsil bayon qilinmagan - .RU domenini muvofiqlashtirish markazi muammo DNSSEC qayta konfiguratsiyasi bilan bog'liqligini faqat umumiy ma'lumot bilan tasdiqladi.
Tashqi ko'rinishlarga qaraganda, nosozlik .RU zonasini tekshirish uchun ishlatiladigan kalitni almashtirishga urinish natijasida yuzaga kelgan. Bu kalit ikkinchi darajali domenlarda ishlatiladigan boshqa kalitlar uchun ishonchning ildizidir va o'z navbatida "." domen kalitidan ishonchni tekshirish uchun ustun kalit sifatida foydalanadi. 26-yanvar kuni .RU zonasi uchun DNSEC sozlamalariga 44301 identifikatorli asosiy kalitdan tashqari qo'shimcha 52263 kalit qo'shildi.
Kecha soat taxminan 18:20 da RU zonasidagi yozuvlarni tekshirish uchun yangi kalit ishlatilgan, ammo yangi kalitga o'tgandan so'ng, xatolik tufayli autentifikatsiya amalga oshmadi.
Eski kalitli imzo soat 21:07 (Moskva vaqti) atrofida qaytarildi va birinchi to'g'ri javob dnsviz.net tomonidan soat 22:07 (Moskva vaqti) da qayd etildi. Noto'g'ri sozlamalar taxminan ikki yarim soat davom etdi, ammo DNS server keshlarida saqlangan xato yozuvlar tufayli, rekursiv DNS serverlari majburan tozalanmasa, to'liq tiklash qo'shimcha vaqt talab etadi. Ba'zi provayderlar o'zlarining hal qiluvchi sozlamalarida DNSSEC tekshiruvini vaqtincha o'chirib qo'yish orqali muammoni tezroq va samaraliroq hal qilishdi.
Manba: opennet.ru
