![](https://habrastorage.org/webt/qr/ch/09/qrch09ti4ucalde2gnle1ncmfve.png)
Профильный эксперт опубликовал таймлайн сетевого инцидента с резолвом доменных имен в зоне RU (сломался DNSSEC). Источники СМИ назвали вероятной причиной этой проблемы «действия администратора зоны, Координационного центра доменов .RU/.РФ или его подрядчиков». Инцидент длился около 4 часов из-за неправильной подписи зоны DNSSEC. Причиной сбоя в работе сайтов в доменной зоне .ru стало несовершенство программного обеспечения DNSSEC, сообщает Координационный центр доменов RU и РФ.
За работу доменов *.RU отвечают три организации: Координационный центр .RU/.РФ (КЦ) является администратором зоны, MSK-IX — поддерживает инфраструктуру и сервера DNS, а также «Технический центр Интернет» (ТЦИ) — обслуживает реестр доменов *.RU.
Неправильные настройки DNSSEC могут приводить к недоступности целых зон интернета: подобные случаи, в частности, документирует интернет-проект IANIX. Последний раз подобная проблема происходила 18 сентября 2023 года: тогда около часа не работали около 15 тыс. доменов зоны .au (Австралия). В масштабах целого домена верхнего уровня такое происходило 9 марта 2022 года с .fj (Фиджи).
Доступность сайтов, по мнению профильного источника СМИ, зависит от каждого конкретного элемента интернета: «В большей степени сбоям подвержены малые операторы, у которых нет ресурсов или экспертизы для того, чтобы оперативно прекратить кэшировать ошибочные DNS-записи». Источник полагает, что проблемы возникли из-за действий Координационного центра .RU/.РФ как администратора зоны или его подрядчиков — MSK-IX или ТЦИ: «Так или иначе именно координационный центр подписывает изменения». Причастность Роскомнадзора к сбою эксперт считает маловероятной, так как ведомство не имеет непосредственного доступа к глобальной инфраструктуре.
Информация про DNSSEC есть в этой публикации на Хабре.
DNS — это протокол, который позволяет сопоставлять домены сайтов и IP-адреса серверов, на которых размещаются сайты. DNSSEC — это расширения протокола, использующие систему цифровых подписей для верификации ответов от DNS-серверов. «DNSSEC используется в целях безопасности — чтобы не было подмены адресов на уровне отдельных доменов и всей зоны. Именно с этим сервисом произошла проблема, и у нее глобальный характер», — пояснил СМИ директор по информационным технологиям Ru-Center Евгений Мартынов.
Таймлайн сетевого инцидента 30 января 2024 года, зона RU, время по Москве
15:29:44: последний отмеченный корректный ответ
серийный номер SOA: 4058855
https://dnsviz.net/d/ru/ZbjruA/dnssec/
![](https://habrastorage.org/webt/5r/tp/xm/5rtpxmdhxxzqe3jsjlnzll8pula.png)
18:27:27: первый отмеченный сбойный ответ
серийный номер SOA: 4058857
https://dnsviz.net/d/ru/ZbkVXw/dnssec/
![](https://habrastorage.org/webt/mw/lw/oe/mwlwoexvzftojvt6kkjfnnck6zu.png)
20:27:35: отмечена попытка переподписать зону
серийные номера SOA: 4058857 и 4058858
https://dnsviz.net/d/ru/Zbkxhw/dnssec/
![](https://habrastorage.org/webt/se/ij/ko/seijkognuiimdarjfozxlbw-tx8.png)
20:59:46: начало процесса восстановления
серийные номера SOA: 4058856, 4058857 и 4058858
https://dnsviz.net/d/ru/Zbk5Eg/dnssec/
![](https://habrastorage.org/webt/9v/q2/lh/9vq2lhf9p9xf1d2x8fakzgtmj3w.png)
22:07:29: первый отмеченный полностью корректный ответ
серийный номер SOA: 4058856
https://dnsviz.net/d/ru/ZblI8Q/dnssec/
![](https://habrastorage.org/webt/yb/ms/pt/ybmsptqzwqi4bcwzy4ok08ggafk.png)
Вечером 30 января 2024 года в 21:00 мск инцидент с резолвом доменных имён в зоне RU перешёл в стадию возвращения к работе (подписали вторым ключом). Доступ к сайтам начал восстанавливаться. Нештатная ситуация с резолвом доменных имён в зоне RU продолжалась не менее 3 часов 40 минут.
Официальные ответы от профильных организаций и Минцифры (это техническая проблема, затронувшая зону *.RU, связанная с глобальной инфраструктурой DNSSEC):
20:21 мск https://t.me/mintsifry/2114
![](https://habrastorage.org/webt/bc/v0/xq/bcv0xqhqlxgva0dbvqluwy8xwqq.png)
22:20 мск https://t.me/mintsifry/2115
![](https://habrastorage.org/webt/ph/w3/sh/phw3shjbdua5ukvyfpsmpltqv0c.png)
Координационный центр доменов .RU/.РФ:
https://cctld.ru/media/news/kc/35564/
![](https://habrastorage.org/webt/ez/0m/wl/ez0mwlziyjs1i_8_pisjo8iago8.png)
https://cctld.ru/media/news/kc/35565/
![](https://habrastorage.org/webt/zt/1i/em/zt1iemhckrcyi7budq4_ybj6ium.png)
В процессе инцидента специалисты Центра мониторинга и управления сетью связи общего пользования (ЦМУССОП) советовали отключить DNSSEC, хотя это небезопасно и может привести к проблемам с появлением мошеннических сайтов и увеличением инцидентов, связанных с фишингом.
![](https://habrastorage.org/webt/kr/ow/ou/krowoum5yqu_xxyf2pr3lsmqoke.jpeg)
В телеграм‑канале «Эшер II» инцидент с DNSSEC представили в виде схемы.
Причиной сбоя в работе сайтов в доменной зоне .ru стало несовершенство программного обеспечения DNSSEC, сообщает Координационный центр доменов RU и РФ.
Возникшая коллизия ключей, в причинах которой в настоящее время продолжают разбираться специалисты Технического центра интернет (ТЦИ) и MSK-IX, привела к временной недоступности зоны .RU для части интернет-пользователей.
После обнаружения сбоя обновленные ключи были отозваны, и работоспособность зоны .RU в полном объеме восстановилась, что заняло, включая распространение данных по системе DNS, около двух часов. Это удалось сделать благодаря слаженной работе специалистов по устранению технического сбоя, что в итоге позволило оперативно восстановить работоспособность зоны .RU в полном объеме с валидацией DNSSEC.
В настоящее время расследование инцидента продолжается, однако уже сейчас понятно, что главной причиной сбоя стало несовершенство программного обеспечения, используемого при создании ключей шифрования. Как и любое другое технологическое решение, DNSSEC требует усовершенствования с течением времени, чтобы исправить обнаруживаемые ошибки работы. Стоит отметить, что DNSSEC как средство обеспечения безопасности пользователей интернета сработало так, как задумано: была своевременно заблокирована работа серверов DNS, не подтвердивших подлинность своего ответа на запросы разрешения доменных имён.