Таймлайн инцидента и вероятная причина проблемы с резолвом доменных имен в зоне RU (сломался DNSSEC)

[Phikser]

Видимо, неправильное подписание новым ключом произошло в 17:18. После этого вернули старый ключ. А сам новый ключ был выпущен ещё в пятницу 26 января

[fLegmatik]

Что было не так с новым ключом от 26 января, возможно ли узнать? Подписан ключом минцифры?

[balamutang]

Нарушено правило про деплой в пятницу

[helgifisher]

Нарушен запрет на перенастройку сети в пятницу после обеда.

[Phikser]

Так как сегодня в 17:17 они повторили попытку подписать зону вчерашним ключом id52263 и у них на этот раз получилось, то видимо сам ключ был нормальным. Возможно, что-то не так было в процессе подписывания

[mrAsh4r]

Ребят, ну я же не один вижу интересное совпадение с новостью https://habr.com/ru/companies/f_a_c_c_t/news/789850/

Вкратце "Если не установишь наш сертификат вирусняк, то 30 января не будет работать интернет".

[vadimk91]

У меня банк тоже пугал "обновите приложение, а то не будет работать", но час X был назван 2 февраля

[mrAsh4r]

2 февраля, если не ошибаюсь, все банки пишут при оплате онлайн (Когда уже код в виде смс приходит) Там снизу маленькая плашечка вылезает. Но в новости на Хабре, немного другая тема

[Dima954]

Забавное совпадение - вчера в первой половине дня мне звонил Сбер и настоятельно советовал установить их приложение. "Подумайте, это же удобно!" "Вы ничего не теряете, и можете удалить его в любой момент!"

[Earthsea]

Понадобилось сделать перевод через СБП в другой банк, пришлось установить. Что интересно, платеж не прошел, заблокировали - "вероятно вы действуете по указаниям мошенников". Со второй попытки получилось. С тех пор не удалял, пользуюсь. Но только потому что в новом телефоне очень много внутренней памяти. На старом смартфоне я бы не стал терпеть это 700-мегабайтное чудовище.

[Oleg_Rub]

700мб?

[13werwolf13]

а вы что думали? сторисы, игры, музыка.. всё это места требует (и каааааапец как необходимо в приложении банка судя по тому что все банки эту срань понадобавляли и отказываются убирать).

[DaemonGloom]

Проверил на своём телефоне. Версия 15.2.0 для Android у меня занимает 678 мегабайт.

Обновил. 15.4.0 - 831 мегабайт занято приложением и данными.

[Dima954]

Насколько помню, сбп в веб-клиенте уже запилили в разделе "переводы", так что я пока что держусь подальше от приложения.

[DaemonGloom]

Да, СБП действительно появилось в браузерной версии. Кажется, можно спокойно убирать приложение.

[mizugoji]

СБП со сканером QR кода?

[DaemonGloom]

СБП переводы по номеру телефона - есть и работают.

Оплата по QR в списке есть, но на моём телефоне при выборе этой опции ничего не происходит.

[net_racoon]

Эмм.. у меня пишет про установку сертификата МинЦифры, когда пытаюсь к Яндекс такси карту привязать. Это вирус или товмайор балуется? :)

[pioli]

Тестирует новый рубильник чебурнета не иначе.

[Krasovsky]

Странно тестирует. Всё ресурсы com доступны, всё ресурсы ru недоступны. Разве что тест отказа от доменной зоны ru,)

[falcon4fun]

Отсечь себе ногу, чтобы зараза не пошла дальше. Вы не понимаете ?

[aldekotan]

Ну, так или иначе, сейчас блокировки (имею в виду сервер изображений Youtube) вернулись, как было до инцидента.

[Krasovsky]

Они и во время были

[sergiodev]

Что такое "резолв"? По-русски бы написали что ли - проблемы с разрешением DNS-имён.

[sergiodev]

Есои уж юзаем англицизмы, то проблемы с резолюшеном, а не резолвом.

[isden]

Правильно так - "траблы с ресолвингом". /s

[brlumen]

Такое ощущение, что у всех dnssec прям локально проверяется, что можно давать советы по отключению dnssec и предупреждать, что это повлияет на безопасность. Ну ок, провайдер на своём рекурсоре включил dnssec верификацию, ну а дальше что? Конечный клиент всё равно не проверяет ответ провайда. Схема с dnssec изначально мертва! Но мы попытаемся решить её с помощью dot/doq/doh.
Единственный способ оживить dnssec это сместить функцию рекурсора к клиенту.

[David_Osipov]

Тогда клиенты будут тратить не 50 мс на обработку записей, а 500 мс. При желании, вполне можно на клиенте проверять DNSSEC, но не стоит.

[brlumen]

Аргументируйте про время.

[MrPlap]

А может кто-то пояснить, я один момент не понял.
Вчера, во время этой проблемы у меня часть ресурсов не открывалась (это логично). Но я ожидал в браузере увидеть ошибку, связанную с DNS, однако видел только таймаут соединения.

[13werwolf13]

один красный провайдер вчера отличился тем что на все dns запросы в зоне ru отдавал один и тот же ip, возможно там должна была быть заглушка, но nmap сказал что хост мёртв (что-то пошло не так, или не успели доделать не важно) но факт что они охренели и опять пытались подсунуть что-то вместо того что запрашивал юзверь.

я это к чему - возможно у вас похожая ситуация (либо тот же провайдер)

P.S.: провайдера напрямую не называю ибо не уверен что это его кривые ручки а не что-то вышестоящее
P.P.S.: ip отдаваемый на запросы по whois принадлежал провайдеру что как бы намекает

[Aquahawk]

Браузеры очень давно решили что пугать пользователя подробностями не нужно. Даже девтулы на самом деле не показывают всего происходящего. Решает вопрос только tcpdump, wireshark и, если надо ковырять https, mitmproxy. Браузеры скрывают очень много всего. Черт бы с ним с браузером, из дотнета тоже очень много всего нельзя понять по результату неудачного запроса.

[tumbler]

"Нормальное состояние" - это либо записи найдены и корректны, либо не найдены. А тут найдены и некорректны. Если тщательно не тестировать софт на такое, можно вполне повиснуть в промежуточном состоянии. А уж кто повис, клиент, СОРМ или DNS провайдера - дело десятое.

[RoundRobin]

https://habr.com/ru/news/790188/#comment_26442348 - тут сообщали еще об ошибках таймаута при запросах к корневым DNS-серверам зоны .ru.

Что это было? Не выдержали нагрузки? Перезагружали серверы? Или локальная проблема?)

[CheshirCa]

Утром были проблемы с доставкой почты на сервера, использующие западные сайты-блеклисты. Те закешировали ошибочные DNS записи и ругались на письма из зоны .ru