В «Техническом центре Интернет» (ТЦИ) разослали провайдерам и операторам связи РФ информационное письмо о причинах сбоя в работе доменной зоны RU от 30 января. Также проблемы возникли в доменах *.дети и *.tatar (обслуживаются DNS-серверами из зоны RU).
За работу доменов *.RU отвечают три организации: Координационный центр .RU/.РФ (КЦ) является администратором зоны, MSK-IX — поддерживает инфраструктуру и сервера DNS, а также «Технический центр Интернет» (ТЦИ) — обслуживает реестр доменов *.RU.
ТЦИ является техническим оператором российской национальной доменной зоны, куда входят домены верхнего уровня *.RU, *.РФ, *.SU, *.дети и *.tatar. Эта организация обеспечивает устойчивое и защищённое функционирование реестров и системы регистрации доменных имён и сопутствующих сервисов. Входит в группу компаний «Ростелеком-ЦОД».
Из письма ТЦИ следует, что сбой длился 30 января с 18:28 до 21:00 мск и затронул сайты в доменных зонах *.RU, .tatar и .дети. Сбой произошёл при замене старого ключа для проверки подлинности записей в файле зоны на новый. Подобные замены — плановые, для домена *.RU они производятся четыре раза в год, очередная началась 24 января. «В результате сбоя конфигурации в системе [30 января при активации нового ключа] оказались две пары ключей с одинаковым keytag (16-битный тег, который вычисляется по алгоритму от данных ключа», — отмечается в разъяснении ТЦИ. Коллизия с одинаковыми keytag в системе в нем объясняется «сбоем программного обеспечения».
По словам директора по информационным технологиям RU-CENTER Евгения Мартынова, все регистраторы доменных имён, и в том числе его компания, получили письмо с разбором. «Из письма следует, что с технической точки зрения произошло довольно редкое событие — в системе отобразился некорректный ключ, не тот, который должен был быть в зоне. Для DNS-инфраструктуры в целом это выглядело как ответ, которому нельзя доверять. Условно, у вас есть пароль для входа в крепость, и гонец подошёл к воротам ещё со вчерашним паролем, а часовой уже пускает только с сегодняшним», — объяснил он.
В разъяснении ТЦИ отмечается, что был «проведён комплекс мер» для устранения проблем в хранилище ключевой информации. «Последствия сбоя были успешно ликвидированы в течение двух с половиной часов, а его корневая причина была устранена в течение суток. С целью предотвращения повторения подобных сбоев предпринимаются шаги по доработке процессов проверки и публикации файлов зон, а также модернизации используемого программного обеспечения», — говорится в письме.
Директор по инфраструктуре облачного провайдера «EdgeЦентр» Алексей Учакин пояснил СМИ, что причиной сбоя в процессе генерации подписи мог стать человеческий фактор, например инженер мог ошибиться в конфигурации софта при генерации нового ключа. Также проблема могла быть вызвана несовершенством программного обеспечения.
Гендиректор российского хостинг-провайдера Rusonyx Константин Анисимов в качестве причины сбоя при замене ключа указал СМИ человеческий фактор — намеренный или случайный. Он отметил, что за время существования зоны *.RU таких крупных сбоев ещё не возникало.
Глава хостинг-провайдера RUVDS Никита Цаплин считает, что проблема была связана с внедрением новой информационной системы регистратором, в которой формат ключей отличался от прошлой. «Осложнило ситуацию и то, что ошибочные записи с ключами «осели» в кешах DNS-серверов. В обычных условиях для нормализации работы всей системы было бы достаточно просто перезапустить DNS-сервер. Но в нашем случае администраторам пришлось вручную очистить кэш, чтобы максимально оперативно устранить проблему», — пояснил СМИ Цаплин.
5 февраля директор Координационного центра доменов .RU/.РФ Андрей Воробьёв рассказал СМИ о причинах сбоя в работе доменной зоны RU от 30 января 2024 года. По словам Воробьёва, сетевой инцидент случился из-за технического сбоя, произошедшего при подписании новым ключом шифрования данных зоны RU, которые передавались в реестр корневой зоны. В качестве причины сбоя называется некорректная работа программного обеспечения, реализующего механизм подписи файла с данными зоны RU.
Ранее причиной сбоя в работе сайтов в доменной зоне *.RU в Координационном центре доменов RU и РФ назвали несовершенство программного обеспечения DNSSEC. Сетевой инцидент произошёл при обновлениях ключа расширения безопасности системы доменных имён (DNSSEC).
1 февраля глава Минцифры сообщил, что начато расследование инцидента с DNSSEC, затронувшего зону *.RU. В Ведомстве пообещали опубликовать результаты технического разбора этой ситуации.
«Минцифры ведет разбирательство, закончим — обязательно "опубличим" результаты технического разбора этой ситуации», — рассказал СМИ глава Минцифры Максут Шадаев.
Полный таймлайн сетевого инцидента 30 января 2024 года в зона RU описан в этой публикации. Источники СМИ назвали вероятной причиной этой проблемы «действия администратора зоны, Координационного центра доменов .RU/.РФ или его подрядчиков». Инцидент длился около 4 часов из-за неправильной подписи зоны DNSSEC.
31 января 2024 года Роскомнадзор пояснил дальнейшие действия для российских провайдеров и владельцев автономных систем после недавнего инцидента с DNSSEC, затронувшего зону *.RU, порекомендовав им выполнить подключение к публичным серверам (резолверам) Национальной системы доменных имён (НСДИ).
