The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Ошибка при обновлении ключей DNSSEC привела к нарушению работы доменной зоны NZ

30.05.2023 09:53

Новозеландский регистратор InternetNZ, отвечающих за доменную зону ".NZ", предупредил об инциденте, в результате которого возникли массовые сбои в разрешении доменных имён в зоне ".nz" и 15 связанных вторичных зонах, таких как "co.nz" и "net.nz". Причиной сбоя стала ошибка, допущенная при ротации KSK-ключей (Key Signing Key), применяемых для цифровой подписи записей DNSKEY, содержащих ключи для подписи доменной зоны (ZSK, Zone Signing Key). После инцидента на DNS-серверах, применяющих DNSSEC для проверки достоверности данных, перестали определяться все домены в зоне ".nz" (попытка определения приводит к возвращению сервером ошибки SERVFAIL).

Регистратор доменной зоны ".nz" внедрил DNSSEC более десяти лет назад, и с тех пор ежегодная ротация ключей превратилась в рутину. В этом году ротация была выполнена в привычном режиме, но администраторы не обратили внимание, что в конце прошлого года была внедрена новая информационная система регистратора, в которой формат ключей немного отличался от прошлой, и данное отличие не было выявлено во время тестирования и интеграции новой платформы. Администраторы не учли наличие отличий и предварительно не протестировали процесс ротации в новых условиях, что привело к тому, что при определении имён на DNS-серверах перестала проходить проверка цифровых подписей с использованием KSK-ключа корневой зоны.

Проблема усугубляется тем, что ошибочные записи с ключами осели в кешах DNS-серверов, и для оперативного возобновления нормальной работы администраторам рекурсивных серверов требуется вручную очистить кэш (обычно достаточно перезапустить DNS-сервер). В противном случае для возобновления определения доменов ".nz" необходимо ждать завершения срока действия записей DNSSEC, время жизни которых для зоны ".nz" выставлено в 48 часов (инцидент произошёл вечером 29 мая, поэтому для истечения времени жизни записи придётся ждать более суток).

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: ICANN призывает к повсеместному внедрению DNSSEC
  3. OpenNews: Фундаментальная уязвимость в DNS
  4. OpenNews: Инициатива DNS flag day 2020 для решения проблем с фрагментацией и поддержкой TCP
  5. OpenNews: Новый вариант атаки SAD DNS для подстановки фиктивных данных в кэш DNS
  6. OpenNews: Крупнейшие DNS-сервисы и серверы прекратят поддержку проблемных реализаций DNS
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59217-dnssec
Ключевые слова: dnssec, dns, internetnz
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (64) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:41, 30/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ого, сегодня у самого популярного сайта в интернете плохой день. Ну, бывает. Особенно, когда разработчики не предупреждают тех, кто будет внедрять, а те, кто патчит продакшен раз в год, не проверяют, что работоспособность при этом не нарушится. Найс оправдания.
     
     
  • 2.18, Массоны Рептилоиды (?), 12:16, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    пронхаб? Он же com
     
     
  • 3.19, Аноним (1), 12:32, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не, да и, я уверен, он не самый популярный. Согласно информации, известной мне, в доменной зоне NZ только 1 сайт, поэтому, вариантов не много.
     
     
  • 4.20, Аноним (20), 12:43, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > в доменной зоне NZ только 1 сайт

    Но ты никому о нем не скажешь.

     
     
  • 5.30, Аноним (1), 13:21, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну почему же, очевидная мега, с тех пор, как отжали домен в зоне com по беспределу. Много ли ещё всемирно известных сайтов там? И всемирно это значит и Азия с Африкой тоже.
     
     
  • 6.32, ИмяХ (?), 13:31, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У известной меги домен sb вообще-то
     
     
  • 7.33, Аноним (1), 13:41, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > У известной меги домен sb вообще-то

    Не все интересуются веществами и магазинами веществ в рунете. Я тебе больше скажу, мало кто и в РФ интересуется, а кое-где в мире и секир-башка устроят.

     
     
  • 8.79, РастоМан (?), 07:03, 31/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С чего Как на пасте писать то без затяга ... текст свёрнут, показать
     
  • 5.35, Аноним (35), 14:35, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    host kremlin.nz
    kremlin.nz has address 210.55.30.67
     
     
  • 6.78, РастоМан (?), 07:02, 31/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И какие цены на этом маркетплеймн?
     

  • 1.4, Bob (??), 11:24, 30/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    "в конце прошлого года была внедрена новая информационная система регистратора, в которой формат ключей немного отличался от прошлой и данное отличие не было выявлено во время тестирования и интеграции новой платформы" - а зачем вводили то вообще?
    Каким лядом такое решение до релиза дожило?
    Реплики совсем нет для теста и унтерменши сразу в прод деплоят?
     
     
  • 2.22, Брат Анон (ok), 12:56, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Только хотел эту цитату привести. Не успел. брат))

    Там в тексте неточность, поэтому я исправлю:

    >но администраторы не учли, что в конце прошлого года была
    >внедрена новая информационная система регистратора, в
    >которой формат ключей немного отличался от прошлой и
    >данное отличие вообще не было протестировано

    Также тамошние разрабы задали уточняющий вопрос:

    >Тесты? А что это такое?

     

  • 1.6, Аноним (6), 11:27, 30/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Конечно, чтобы одному домену зону обновить, нужна новая информационная система. Справился бы и баш-скрипт в кроне, но нет.
     
     
  • 2.10, Аноним (20), 11:49, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Не все проблемы можно решить башпортянками. Когда-нибудь ты это поймешь.
     
     
  • 3.40, Аноним (35), 14:40, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Можно подмотать питонпортянками.
     
     
  • 4.45, Аноним (45), 15:55, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нельзя.
     
  • 2.21, Аноним (21), 12:56, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > баш-скрипт в кроне

    За такое в 2023 году нужно гнать ссаными тряпками на пенсию из айти.

     
     
  • 3.23, Брат Анон (ok), 12:59, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > За такое в 2023 году нужно гнать ссаными тряпками на пенсию из
    > айти.

    Расизм на почве возраста.

    Кроме шуток, баш, имхо -- надо бы закопать. Но, вообще, мысль вполне разумна, если ты умеешь в баш.


     
     
  • 4.24, Аноним (24), 13:14, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • –15 +/
    Вот только не надо говорить, что возраст ничего не значит Значит многое Приход... большой текст свёрнут, показать
     
     
  • 5.29, Аноним (20), 13:21, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Молодняк гибче, быстрее, более обучаем.

    Так понимаю, вы не делаете ничего, кроме как обучаете молодняк? Интересно, остается ли у вас время на, собственно говоря, работу...

     
  • 5.31, Admino (ok), 13:26, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Молодняк гибче, быстрее, более обучаем.

    А ещё ему на хрен ничего не интересно, кроме как тупить в телефоне.

     
     
  • 6.37, Аноним (37), 14:39, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А ещё ему на хрен ничего не интересно, кроме как тупить в телефоне.

    Сразу пинка под зад получит за сидение за телефоном. Если человек отвлекается от рабочего процесса с ним разговор короткий. Завтра на его место 200 кандидатов в очередь станут. Повторюсь, жизнь жестока. Так что, дед, не рвись, и лучше едь на свою дачу к тёще цветочки нюхай.

     
     
  • 7.56, Admino (ok), 17:50, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Завтра на его место 200 кандидатов в очередь станут.

    Ага, ну да, ну да. Да он быстрее курьером пойдёт в яндекс доставку и будет получать деньги, чем связываться с тобой.

     
  • 5.34, Аноним (34), 13:57, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > молодняк спокойно может задержаться и на 2-3 часа без доп. оплаты за это
    > В нашей компании мы даже не откликаемся на резюме соискателей которым 30+

    Так и скажи, что опытные на ваш развод просто не ведутся и занимаетесь вы фигнёй, раз вчерашние школьники справляются со всем.

     
     
  • 6.41, Аноним (41), 14:42, 30/05/2023 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 6.47, Аноним (47), 16:01, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > "опытных" достаточно буквально пару человек на всю компанию,

    На всю компанию всего два опытных сотрудника? Спасибо, поржал.

     
     
  • 7.49, смузиизбатона (?), 16:09, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    если всего в компании четрые вместе с бухгалтершей, то очень даже неплохой показатель
     
     
  • 8.51, Аноним (47), 16:42, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И конечно они взращивались внутри компании, набрались опыта от начальника с бухг... текст свёрнут, показать
     
     
  • 9.53, Аноним (47), 16:44, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На место начальника D... текст свёрнут, показать
     
  • 5.36, Аноним (36), 14:36, 30/05/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 5.39, Tron is Whistling (?), 14:40, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > молодняк спокойно может задержаться и на 2-3 часа без доп. оплаты за это

    Да, с таким подходом придётся только студней и набирать. Ну может ещё трудолюбивых гостей, да.

     
     
  • 6.43, Аноним (35), 14:44, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Из республик сред...Центральной Азии.
     
  • 5.48, сузиизбатона (?), 16:08, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В нашей компании

    забыл добавить "динамично развивающейся"

     
  • 5.55, Аноним (6), 17:41, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Сразу ясно, что вы нанимаете дешевых специалистов Конечно, 30-40 выгоревшая пос... большой текст свёрнут, показать
     
     
  • 6.57, Аноним (-), 19:32, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Я тебе сакральную истину скажу, но всем наплевать на качество кода и т.д. Если это не какая-то там военка или софт для управления ядерным реактором. Сразу видно что ты живёшь прошлым. Но сейчас капитализм. Жестокий и беспощадный. В современном мире важнее скорость разработки, ведь 99% стартапов по статистике всё равно закрывются в первые 2 года. У нас в компании даже в описании вакансий есть требование уметь работать с chatgpt (прикинь?).

    Поэтому твой тезис о нужности профессионалов которым 30+ не состоятелен. Ты либо реально профи и работаешь где-то в кремниевой долине, либо ты дядя Вася с засаленными волосами и растянутыми спортивными штанами.

     
     
  • 7.74, Аноним (6), 22:24, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тезис о том, что работать уметь не надо, надо брать больше и кидать дальше - не ... большой текст свёрнут, показать
     
  • 7.82, scriptkiddis (?), 13:46, 01/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Запомни, твой локалхост.. корпа это не показатель рынка. Мы уже поняли что у вас там все не вменяемо.
     
  • 6.65, Tron is Whistling (?), 21:27, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я тебе сакральную истину скажу: в 30 лет я был руководителем аж целого отдела технического.
    А потом дауншифтнулся до архитекта, и сейчас имею больше, чем любой руководитель того самого пошиба.
     
     
  • 7.80, User (??), 09:24, 31/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, вечная тема - "хороший специалист" != "хороший руководитель", а большинство карьерных треков ведет именно туда, в результате - дохрена плохих руководителей при недостатке уже "средних" специалистов. Оттуда в общем и выводы про "чатЖПТ и 100500 студентов налабают не хуже!"
     
  • 6.66, Tron is Whistling (?), 21:28, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Прошу прощения, отвечал аффтару ответа, на который был ответ.
     
  • 5.58, Аноним (58), 19:56, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В нашей компании

    Компания не может быть «нашей», она может быть только «моя». Всё остальное — развод для лохов.

     
     
  • 6.76, Аноним (76), 22:52, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Компания не может быть «нашей», она может быть только «моя».

    Майкрософт чья?

     
     
  • 7.77, Аноним (77), 23:51, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Своя собственная, иными словами Майкрософт принадлежит корпорации Майкрософт. Неожиданно, правда?
     
  • 5.60, U202204161753 (?), 21:06, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а) Предлагаю вернуться к этой теме лет через 10, потом ещё чуть позже.

      Уверяю, аремя пролетит незаметно.

    б) Вы ставите себя выше закона.
    "Это хуже чем преступление, это ошибка" И.В.С.

    в) А давайте мы профсоюз организуем, у вас на галере? ( Насчёт переработок )

    P.S. Контора - по "русским линуксам"?

     
  • 5.81, scriptkiddis (?), 13:44, 01/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > В нашей компании мы даже не откликаемся на резюме соискателей которым 30+

    Дай угадаю, ваша шикарная мегакорпа клепает сайты одностраничники на js. Тогда да, уважающий себя человек болеет этим до 30 а после ум проясняется и он начинает заниматься чем то поинтереснее.

     
  • 3.42, Аноним (35), 14:42, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Золотые парашюты?
     
  • 3.54, Аноним (6), 17:14, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кроме эмоций есть что-нибудь Ну допустим, если баш так не нравится, можно в ход... большой текст свёрнут, показать
     
  • 3.59, Аноним (59), 20:00, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Критикуешь - предлагай!
    Скрипт в крон пихать не обязательно, в кроне код можно писать прямо так!
     

  • 1.38, Tron is Whistling (?), 14:39, 30/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    DNSSEC - удивительной унылости г-но, которое наиболее известно вот такими вот приключениями.
     
     
  • 2.46, suffix (ok), 15:55, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну напрасно Вы так. Да, бывают проблемы у вот таких как в новости "криворуких" менеджеров.

    Но без DNSSEC не имеют смысла:

    TLSA
    SSHFP
    SMIMEA
    OPENPGPKEY

    и т.д. и т.п.

     
     
  • 3.61, Tron is Whistling (?), 21:13, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    "бывают", да

    https://ianix.com/pub/dnssec-outages.html

    Оно ущербно by design, и работает так же.

     
     
  • 4.62, Tron is Whistling (?), 21:14, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по собранным данным, в апреле Мехико (.mx) заваливалось.
    Новую жертву аборта^WDNSSEC ещё не добавили пока.
     
  • 3.63, Tron is Whistling (?), 21:16, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > TLSA
    > SSHFP
    > SMIMEA
    > OPENPGPKEY

    И как, полтора домена, это _всерьёз_ использующих вне локалнета, в паблике наберётся :) ?

     
     
  • 4.67, suffix (ok), 21:31, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    1.

    Нас, параноиков, всяко больше полутора землекопов :)

    2.

    Скажем в Бенилюксе все публичные почтовые сервисы обязаны иметь проверку по tlsa dane под dnssec. Там, в Нилерландах, у них все повёрнутые на этом.

     
     
  • 5.68, Tron is Whistling (?), 21:45, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну может хватит этого гонева?
    Я работаю в Бенелюксе, и прекрасно знаю, чего там должно и нет.
    Только госорганы.
     
     
  • 6.71, suffix (ok), 21:55, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну чуток преувеличил - что за реакция-то такая резкая :) ?

    Про госорганы же правда ?

    Ну хорошо соглашусь, узок наш, параноиков, круг - страшно далеки они от народа ! :)

    Вам полегчало ?

    Но всё равно мы существуем, и нас больше чем полтора землекопа. Это я к тому что Вы тоже передёргиваете - сильно преуменьшая !

     
     
  • 7.72, Tron is Whistling (?), 22:12, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну чуток преувеличил - что за реакция-то такая резкая :) ?

    Я это гонево уже не первый раз слышу как аргумент за всякие TLSA, беспочвенно и бессмысленно.

    > Про госорганы же правда?

    Я хз зачем им это, всё равно только в одну сторону работает, если вообще работает :D

    > Вам полегчало?

    Нет, мне и не тягчало, мне пофиг )

     
     
  • 8.73, suffix (ok), 22:21, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы было пофиг, такой гипертрофированной реакции бы не было Хотя понимаю... текст свёрнут, показать
     
  • 5.69, Tron is Whistling (?), 21:46, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я тебе больше того скажу, я (ну, не я лично) почтовый провайдер в т.ч. в зоне .nl :D
     
  • 2.50, Аноним (58), 16:34, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Известно. И требует исключительно аккуратного обращения и внимательности. А другой безопасности для DNS у нас для вас нет.
     
  • 2.52, Аноним (52), 16:44, 30/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Приключения, это когда продуктив отличается от дев и тест сред. Что, видимо, и могло быть, судя по тексту.
     

  • 1.64, Аноним (64), 21:25, 30/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    ДНС он как училка русского за 60, не поставил запятую - тебе капец. Поставил запятую, где не надо - тебе капец. Не оформил заголовок - садись два. А теперь к этому добавим ZSK KSK. А 48 часов, это сегодня роскошь небывалая, внутренняя зона - три минуты, внешняя - 45. Не ну я себе двое суток могу позволить, дома, и неделю.
     
  • 1.83, Аноним (83), 22:53, 30/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну вот и RU зона тоже ключи обновила
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру