Ошибка при обновлении ключей DNSSEC привела к нарушению работы доменной зоны NZ

Новости мира unix. Хотите узнать секрет вечного счастья? Откройте страницу 246.
Ответить
acolyte
Аватара пользователя
Сообщения: 2411
Зарегистрирован: 20.08.2022

#

Ошибка при обновлении ключей DNSSEC привела к нарушению работы доменной зоны NZ
Дата публикации:Tue, 30 May 2023 09:53:03 +0300




Новозеландский регистратор InternetNZ, отвечающих за доменную зону ".NZ", предупредил об инциденте, в результате которого возникли массовые сбои в разрешении доменных имён в зоне ".nz" и 15 связанных вторичных зонах, таких как "co.nz" и "net.nz". Причиной сбоя стала ошибка, допущенная при ротации KSK-ключей (Key Signing Key), применяемых для цифровой подписи записей DNSKEY, содержащих ключи для подписи доменной зоны (ZSK, Zone Signing Key). После инцидента на DNS-серверах, применяющих DNSSEC для проверки достоверности данных, перестали определяться все домены в зоне ".nz" (попытка определения приводит к возвращению сервером ошибки SERVFAIL).




Регистратор доменной зоны ".nz" внедрил DNSSEC более десяти лет назад и с тех пор ежегодная ротация ключей превратилась в рутину. В этом году ротация была выполнена в привычном режиме, но администраторы не учли, что в конце прошлого года была внедрена новая информационная система регистратора, в которой формат ключей немного отличался от прошлой и данное отличие не было выявлено во время тестирования и интеграции новой платформы. Администраторы не учли наличие отличий и предварительно не протестировали процесс ротации в новых условиях, что привело к тому, что при определении имён на DNS-серверах перестала проходить проверка цифровых подписей с использованием KSK-ключа корневой зоны.




Проблема усугубляется тем, что ошибочные записи с ключами осели в кешах DNS-серверов и для оперативного возобновления нормальной работы администраторам рекурсивных серверов требуется вручную очистить кэш (обычно достаточно перезапустить DNS-сервер). В противном случае для возобновления определения доменов ".nz" необходимо ждать завершения срока действия записей DNSSEC, время жизни которых для зоны ".nz" выставлено в 48 часов (инцидент произошёл вечером 29 мая, поэтому для истечения времени жизни записи придётся ждать более суток).



Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=59217

Жизнь за Нер'зула!

Ответить