Падение DNSSEC в зоне .RU : Сеть

Нехило так развлеклись...

Полный текст заявления Минцифры по сбою:

Возникла техническая проблема, затронувшая зону .RU, связанная с глобальной инфраструктурой DNSSEC (это набор расширений протокола DNS, благодаря которому гарантируется целостность и достоверность данных). Специалисты Технического центра Интернет и МСК-IX работают над её устранением.

В настоящее время для абонентов Национальной системы доменных имен проблема решена. Идут восстановительные работы. Мы будем держать вас в курсе ситуации.

В итоге не работало вообще ничего, от слова совсем. Я не мог открыть olegon.ru, NS-сервера которого стоят - руку протянуть.

Подозреваю попытку что-то в очередной раз заблокировать или подменить для контроля. И, как сама идея, так и реализация была от рукожопов.
Все легло.

Если кому-то интересно, какие сервера, скорее всего, не будут блокировать, то это сервера Национальной Системы Доменных Имен.
195.208.4.1
195.208.5.1
Только не сочтите это за рекомендацию ими пользоваться.

🤔 Интересный таймлайн событий 2024-01-30. Зона RU, время по Москве.

15:29:44: последний отмеченный корректный ответ
серийный номер SOA: 4058855
[ ➜ ]

18:27:27: первый отмеченный сбойный ответ
серийный номер SOA: 4058857
[ ➜ ]

20:27:35: отмечена попытка переподписать зону
серийные номера SOA: 4058857 и 4058858
[ ➜ ]

20:59:46: начало процесса восстановления
серийные номера SOA: 4058856, 4058857 и 4058858
[ ➜ ]

22:07:29: первый отмеченный полностью корректный ответ
серийный номер SOA: 4058856
[ ➜ ]

По слухам, эти молодцы просто отключили проверку DNSSEC, потому и заработало. Как я понял, отключить эту проверку было еще и рекомендацией Роскомнадзора.
Собственно, оно и вообще работало у тех, кто не заморачивается этой самой проверкой. Опять по слухам - у некоторых сегментов Ростелекома и Билайна.

DNSSEC, если по простому - это то, что мешает серверу подсунуть вам вместо правильного IP какой-то нужный злоумышленникам.

То есть в качестве решения неработающего DNS было предложено отключить проверку, что он правильный. На пальцах это пример вроде "раз вы не можете перевести деньги через интернет магазину, то переведите их хоть куда-нибудь". Пример, конечно, не 100%, поскольку для такой подстановки нужна подготовка, но в целом и совсем ненулевая вероятность. Что самое поганое, сама компрометация ресурсов может распространяться не только на период, когда не работал DNS.

Что касается того, что это козни спецслужб и тестирование чего-то страшного на горизонте - может быть, но больше похоже на рукожопие низкоквалифицированных людей или просто халатность.

Мое мнение - DNSSEC отключать ни в коем случае нельзя (я про тех, у кого свой DNS-сервер, а его "свой" рекомендую не только организации, но и дома, вот ссылка на хороший), а помимо этого еще хорошо бы и DoT делать, либо, как в Firefox есть, DoH.

Сейчас на серверах всё ещё лежит старая зона с серийным номером 4058856. Домены .ru регистрируются, но на серверах не появляются и пользоваться ими нельзя. Нельзя так же сменить NS или ключи DNSSEC для своих доменов второго уровня в .ru

Ничего пока не закончилось

По статусу. 2024-01-31 примерно в 17:17 по Москве серийный номер SOA зоны RU сменился на 4058860. Подписи стали производиться другим ключом DNSSEC. произошла ротация:
[ ➜ ]
Видимо, починили.

Точнее накатили резрв до рукожопства)))

Не знаю, что там по настройкам софта и инфраструктуры, но номер зоны после остановки снова пошел вперед, полагаю, что это все же введение в штатную работу, а не просто откат.

Ну как же... Откат назад... Потом пошли номера вверх.. все логично..
Пропущенные номера это как раз ... Сделали бэкап.. пока настраивали проскочили еще несколько... Потом отключили и влепили свои сертификаты ... Потом поняли что сломали... Пытались починить... Не вышло...rollback

С четвёртым энергоблоком так же игрались