Тема недели: сбой в работе Рунета

Вечером 30 января из-за технической ошибки для некоторых пользователей на несколько часов оказались недоступны сервисы, использующие доменные имена в доменной зоне .ru. Причиной этому послужило недостаточное тестирование и, возможно, недостаток опыта и/или компетенции у специалистов, занимавшихся процедурой, которая к этому привела.

Если говорить техническим языком (понятным IT-специалистам), то проблема заключалась в публикации на серверах, отвечающих за доменную зону, слепка зоны, подписанного недействительными криптографическими ключами.

Если же объяснять подробно, то надо знать, что компьютеры используют для общения между собой не привычные нам доменные имена (а-ля ya.ru или roskomsvoboda.org), а IP-адреса (уникальные числовые адреса). Для того чтобы соотносить привычные нам доменные имена с IP-адресами компьютеров, которые их обслуживают, была создана система серверов доменных имён, названная DNS.

Однако, когда данная система создавалась, интернет был намного меньше, им в основном пользовались учёные (и спецслужбы) и не было острой необходимости переживать по поводу подмены ответов этих самых серверов доменных имён. В связи с этим одноимённый (DNS) протокол общения этой системы не использует шифрования (как и большинство протоколов того времени).

Со временем же, когда интернет разросся и стало наблюдаться всё больше случаев подмены ответов DNS-серверов со стороны государственных служб, интернет-провайдеров и даже взломщиков, было изобретено расширение протокола DNS, именуемое DNSSEC (DNS SECurity). Его суть сводится к подписыванию ответов DNS-серверов криптографической подписью. Соответственно, при любой модификации запроса подпись перестанет соответствовать содержимому, а переподписать доверенной подписью злоумышленник не сможет.

Для подписывания используется цепочка доверия с корневым ключом, принадлежащим международной организации ICANN. У администраторов «национальных» доменных зон на руках находятся ключи, подписанные этим доверенным корневым ключом, и информация об этих ключах хранится в корневом реестре. И, судя по косвенным признакам, 30 января в доменной зоне .ru попытались использовать незаверенные ключи для подписывания зоны, что и вызвало провал проверки. Кроме того, по некоторым данным, некоторое время некоторые из серверов, обслуживающих зону .ru, вообще не отвечали в течение некоторого времени.