В ходе сбоя в Рунете пострадали сайты в доменах.ru,.дети и.tatar
Технический центр Интернет (ТЦИ), который специализируется на поддержке инфраструктуры системы доменных имен (DNS) и фактически отвечает за функционирование интернета в России, разослал российским регистраторам доменов имен письмо с разбором масштабного сбоя в Рунете 30 января.
Что такое ТЦИ
ТЦИ является техническим оператором российской национальной доменной зоны, куда входят домены верхнего уровня .ru, .рф, .su, .дети и .tatar. Обеспечивает устойчивое и защищенное функционирование реестров и системы регистрации доменных имен и сопутствующих сервисов. Входит в группу компаний «Ростелеком-ЦОД».
Из письма (копия есть у РБК) следует, что сбой длился 30 января с 18:28 до 21:00 мск и затронул сайты в доменных зонах .ru, .tatar и .дети. Сбой произошел при замене старого ключа для проверки подлинности записей в файле зоны на новый. Подобные замены — плановые, для домена .ru они производятся четыре раза в год, очередная началась 24 января. «В результате сбоя конфигурации в системе [30 января при активации нового ключа] оказались две пары ключей с одинаковым keytag (16-битный тег, который вычисляется по алгоритму от данных ключа. — РБК)», — отмечается в разъяснении ТЦИ. Коллизия с одинаковыми keytag в системе в нем объясняется «сбоем программного обеспечения».
По словам директора по информационным технологиям RU-CENTER Евгения Мартынова, все регистраторы доменных имен, и в том числе его компания, получили письмо с разбором. «Из письма следует, что с технической точки зрения произошло довольно редкое событие — в системе отобразился некорректный ключ, не тот, который должен был быть в зоне. Для DNS-инфраструктуры в целом это выглядело как ответ, которому нельзя доверять. Условно, у вас есть пароль для входа в крепость, и гонец подошел к воротам еще со вчерашним паролем, а часовой уже пускает только с сегодняшним», — объяснил он.
В разъяснении ТЦИ отмечается, что был «проведен комплекс мер» для устранения проблем в хранилище ключевой информации. «Последствия сбоя были успешно ликвидированы в течение двух с половиной часов, а его корневая причина была устранена в течение суток. С целью предотвращения повторения подобных сбоев предпринимаются шаги по доработке процессов проверки и публикации файлов зон, а также модернизации используемого программного обеспечения», — говорится в письме.
РБК направил запрос в ТЦИ.
Насколько уникальным оказался сбой
Как пояснил РБК директор по инфраструктуре облачного провайдера «EdgeЦентр» Алексей Учакин, причиной сбоя в процессе генерации подписи мог стать человеческий фактор, например инженер мог ошибиться в конфигурации софта при генерации нового ключа. Также проблема могла быть вызвана несовершенством программного обеспечения.
Учакин отметил, что домены .дети и .tatar обслуживаются DNS-серверами из зоны .ru, поэтому, когда в последней начались проблемы, это отразилось и на зависимых от нее зонах. «Раньше в интернете было только два вида доменов верхнего уровня — страновые (.ru) и международные (.com,.net,.org и др.). Несколько лет назад открыли регистрацию доменов верхнего уровня для всех желающих, появились различные коммерческие/частные домены, например .moscow, .yandex и др., но создавать под них полноценную инфраструктуру нецелесообразно — доменов в этих зонах мало, а вложений нужно много», — пояснил он. При этом Алексей Учакин указал, что у зоны .tatar есть резервные DNS-серверы, поэтому после появления проблем эта зона продолжила работать, но сайты открывались медленнее, чем обычно.
Гендиректор российского хостинг-провайдера Rusonyx Константин Анисимов также в качестве причины сбоя при замене ключа указал человеческий фактор — намеренный или случайный. Он отметил, что за время существования зоны .ru таких крупных сбоев еще не возникало. Глава хостинг-провайдера RUVDS Никита Цаплин считает, что проблема была связана с внедрением новой информационной системы регистратором, в которой формат ключей отличался от прошлой.
«Осложнило ситуацию и то, что ошибочные записи с ключами «осели» в кешах DNS-серверов. В обычных условиях для нормализации работы всей системы было бы достаточно просто перезапустить DNS-сервер. Но в нашем случае администраторам пришлось вручную очистить кэш, чтобы максимально оперативно устранить проблему», — рассуждает он. Цаплин дополнил, что ситуация нестандартная, но совсем уж редкой ее назвать нельзя. В прошлом году по такой же причине, по его словам, возникла проблема в доменной зоне .nz (Новая Зеландия).
Что произошло с Рунетом 30 января
Вечером 30 января многие сайты Рунета стали открываться медленно или вовсе не открывались из-за, как объясняли в Минцифры, технической проблемы с глобальной инфраструктурой DNSSEC (протокол, обеспечивающий надежность проверки подлинности в DNS с помощью цифровых подписей на основе криптографических ключей; без его использования существует риск подделки IP-адресов злоумышленниками: они могут направить пользователя на вредоносный сайт). Сразу после появления проблемы Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) выслал операторам связи указание отключить DNSSEC, а после устранения проблемы включить обратно.
