2 February 2024

Тема недели: сбой в работе Рунета

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН, РАСПРОСТРАНЕН И (ИЛИ) НАПРАВЛЕН ИНОСТРАННЫМ АГЕНТОМ «РОСКОМСВОБОДА» ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА «РОСКОМСВОБОДА». 18+
Что происходило с технической точки зрения, объясняют наши IT-специалисты.

Вечером 30 января из-за технической ошибки для некоторых пользователей на несколько часов оказались недоступны сервисы, использующие доменные имена в доменной зоне .ru. Причиной этому послужило недостаточное тестирование и, возможно, недостаток опыта и/или компетенции у специалистов, занимавшихся процедурой, которая к этому привела.

Если говорить техническим языком (понятным IT-специалистам), то проблема заключалась в публикации на серверах, отвечающих за доменную зону, слепка зоны, подписанного недействительными криптографическими ключами.

Если же объяснять подробно, то надо знать, что компьютеры используют для общения между собой не привычные нам доменные имена (а-ля ya.ru или roskomsvoboda.org), а IP-адреса (уникальные числовые адреса). Для того чтобы соотносить привычные нам доменные имена с IP-адресами компьютеров, которые их обслуживают, была создана система серверов доменных имён, названная DNS.

Однако, когда данная система создавалась, интернет был намного меньше, им в основном пользовались учёные (и спецслужбы) и не было острой необходимости переживать по поводу подмены ответов этих самых серверов доменных имён. В связи с этим одноимённый (DNS) протокол общения этой системы не использует шифрования (как и большинство протоколов того времени).

Со временем же, когда интернет разросся и стало наблюдаться всё больше случаев подмены ответов DNS-серверов со стороны государственных служб, интернет-провайдеров и даже взломщиков, было изобретено расширение протокола DNS, именуемое DNSSEC (DNS SECurity). Его суть сводится к подписыванию ответов DNS-серверов криптографической подписью. Соответственно, при любой модификации запроса подпись перестанет соответствовать содержимому, а переподписать доверенной подписью злоумышленник не сможет.

Для подписывания используется цепочка доверия с корневым ключом, принадлежащим международной организации ICANN. У администраторов «национальных» доменных зон на руках находятся ключи, подписанные этим доверенным корневым ключом, и информация об этих ключах хранится в корневом реестре. И, судя по косвенным признакам, 30 января в доменной зоне .ru попытались использовать незаверенные ключи для подписывания зоны, что и вызвало провал проверки. Кроме того, по некоторым данным, некоторое время некоторые из серверов, обслуживающих зону .ru, вообще не отвечали в течение некоторого времени.

Contacts

For general questions

[email protected]

For legal questions

[email protected]

Contacts for media:

Telegram: moi_fee
Signal: moi_fee.13

18+

On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.