В Новой Зеландии произошел массовый сбой в работе доменов

В Новой Зеландии произошел массовый сбой в работе доменов

Сбой в DNSSEC нарушил работу доменов в зоне NZ.

image

В Новой Зеландии регистратор доменной зоны «.nz» InternetNZ сообщил о серьезных проблемах с разрешением доменных имён в этой зоне и 15 связанных вторичных зонах, таких как «co.nz» и «net.nz». Причиной сбоев стала ошибка, которая произошла при ротации ключей KSK (Key Signing Key), используемых для подписи записей DNSKEY с ключами ZSK (Zone Signing Key), отвечающими за подпись доменной зоны.

После инцидента на DNS-серверах, применяющих DNSSEC для проверки достоверности данных, перестали определяться все домены в зоне «.nz». Попытка определения приводит к возвращению сервером ошибки SERVFAIL.

InternetNZ ввел технологию DNSSEC в доменную зону «.nz» более десяти лет назад и каждый год проводил обновление ключей KSK. В этом году процесс ротации ключей прошел как обычно, но администраторы не учли, что в конце прошлого года была запущена новая информационная система регистратора, в которой формат ключей немного отличался от предыдущего. Это различие не было обнаружено при тестировании и интеграции новой платформы. В результате администраторы не проверили процесс ротации ключей в новых условиях и не заметили, что при разрешении имён на DNS-серверах не проходит проверка цифровых подписей с помощью KSK-ключа корневой зоны.

Ситуация осложняется тем, что неверные записи с ключами остались в кэше DNS-серверов и для быстрого восстановления работы доменов администраторам рекурсивных серверов нужно вручную очистить кэш. Для этого обычно достаточно перезагрузить DNS-сервер. Если этого не сделать, то для возобновления работы доменов придется ждать истечения срока жизни записей DNSSEC, который для новозеландской зоны составляет 48 часов.


Большой брат следит за вами, но мы знаем, как остановить его. Подпишитесь на наш канал!