30 月 18 日 20:8.8.8.8(MSK),由于在通过 DNSSEC 更改用于验证 RU 区域有效性的密钥时出现错误,导致用户在 RU 域区域中的主机检测出现严重故障。由于该事件,使用 DNSSEC 验证数据真实性的 DNS 服务器上不再检测到“.ru”区域中的所有域。该问题仅影响使用 ISP DNS 解析器或公共 DNS 服务(例如 XNUMX)的用户,这些服务使用 DNSSEC 验证查询的有效性。禁用 DNSSEC 的 DNS 解析器的用户不受影响。
该事件让人想起去年 InternetNZ(.NZ 域名区域的注册商)发生的事件,该事件导致了域名解析失败。 域名 在“.nz”域名区,此次事件是由于用于对包含区域签名密钥 (ZSK) 的 DNSKEY 记录进行数字签名的密钥签名密钥 (KSK) 轮换出现错误所致。就 InternetNZ 而言,该错误与注册商在过渡到新信息系统期间密钥格式的变更有关。“.RU”域名区事件的具体原因尚未公布——“.RU”域名协调中心仅初步确认该问题与 DNSSEC 重新配置有关。
从外部表现来看,该故障是由于尝试更换用于验证RU区域的密钥而导致的。该密钥是二级域中使用的其他密钥的信任根,并且依次使用域密钥“.”。作为上级确认他的信任。 26月44301日,在RU区的DNSEC设置中,除了标识符为52263的主密钥之外,还出现了一个附加密钥XNUMX。
昨天18点20分左右,新密钥用于验证RU区域中的记录,但切换到新密钥后,由于出现错误,验证停止发生。
使用旧密钥的签名于 21:22(MSK)左右返回,dnsviz.net 服务于 07:XNUMX(MSK)记录了第一个正确的响应。错误的设置持续了大约两个半小时,但由于DNS服务器缓存中错误记录的积累,需要额外的时间才能完全恢复,除非强制清除递归DNS服务器上的缓存。一些提供商通过在其解析器设置中暂时禁用 DNSSEC 验证,更快、更彻底地解决了问题。
来源: opennet.ru
