категории | RSS

В Новой Зеландии ошибка при обновлении ключей DNSSEC нарушила работу доменной зоны NZ

Новозеландский регистратор InternetNZ сообщил о массовых сбоях в разрешении доменных имён в зоне «.nz» и 15 связанных вторичных зонах, в том числе «co.nz» и «net.nz». Их вызвала ошибка, допущенная при ротации KSK-ключей (Key Signing Key), применяемых для цифровой подписи записей DNSKEY с ключами для подписи доменной зоны (ZSK, Zone Signing Key). 

После инцидента на DNS-серверах, применяющих DNSSEC для проверки достоверности данных, перестали определяться все домены в зоне «.nz». Попытка определения приводит к возвращению сервером ошибки SERVFAIL.

Регистратор доменной зоны «.nz» внедрил DNSSEC более десяти лет назад. Он ежегодно проводил ротацию ключей, и в этом году она была выполнена в привычном режиме. Однако администраторы не обратили внимание, что в конце прошлого года была внедрена новая информационная система регистратора, в которой формат ключей немного отличался от прошлой. Это отличие не было выявлено во время тестирования и интеграции новой платформы. В итоге администраторы не протестировали процесс ротации в новых условиях. Это привело к тому, что при определении имён на DNS-серверах перестала проходить проверка цифровых подписей с использованием KSK-ключа корневой зоны.

Сложность ситуации заключается в том, что ошибочные записи с ключами осели в кэшах DNS-серверов, и для оперативного возобновления нормальной работы администраторам рекурсивных серверов требуется вручную очистить кэш. Обычно для этого достаточно перезапустить DNS-сервер. В противном случае для возобновления определения доменов нужно ждать завершения срока действия записей DNSSEC, время жизни которых для новозеландской зоны составляет 48 часов.



Источник новости: habr.com

DimonVideo
2023-05-31T12:50:03Z

Здесь находятся
всего 0. За сутки здесь было 0 человек
Яндекс.Метрика