OpenForum RSS: Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC https://opennet.me/openforum/vsluhforumID3/132726.html 30 января в 18:20 (MSK) пользователи столкнулись с массовым сбоем определения хостов в доменной зоне RU, вызванный ошибкой при смене ключей, используемых для заверения достоверности зоны RU через DNSSEC. В результате инцидента на DNS-серверах, применяющих DNSSEC для проверки достоверности данных, перестали определяться все домены в зоне ".ru". Проблема затронула только пользователей, использующих DNS-резолверы провайдеров или публичные DNS-сервисы, такие как 8.8.8.8, верифицирующие достоверность запросов при помощи DNSSEC. Пользователей DNS-резолверов, на которых DNSSEC отключён, не пострадали...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60527<br> Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE... (Sw00p aka Jerom) https://opennet.me/openforum/vsluhforumID3/132726.html#281 Thu, 08 Feb 2024 11:43:20 GMT для истории<br><br>"""<br>Из письма ТЦИ следует, что сбой длился 30 января с 18:28 до 21:00 мск и затронул сайты в доменных зонах *.RU, .tatar и .дети. Сбой произошёл при замене старого ключа для проверки подлинности записей в файле зоны на новый. Подобные замены &#8212; плановые, для домена *.RU они производятся четыре раза в год, очередная началась 24 января. &#171;В результате сбоя конфигурации в системе [30 января при активации нового ключа] оказались две пары ключей с одинаковым keytag (16-битный тег, который вычисляется по алгоритму от данных ключа&#187;, &#8212; отмечается в разъяснении ТЦИ. Коллизия с одинаковыми keytag в системе в нем объясняется &#171;сбоем программного обеспечения&#187;.<br>"""<br><br>https://habr.com/ru/news/792176/<br> Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE... (Анонимщик) https://opennet.me/openforum/vsluhforumID3/132726.html#280 Sat, 03 Feb 2024 07:45:43 GMT На http сайт сейчас еще постараться надо, чтобы зайти. Все хромо-клоны верещат как резаные при открытии http.<br> Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE... (Аноним) https://opennet.me/openforum/vsluhforumID3/132726.html#279 Sat, 03 Feb 2024 02:36:00 GMT &gt; ля многих компаний увеличение задержек ответов от рекурсора на 1ms &#8212; нештатная ситуация, требующая немедленного вмешательства.<br><br>Примеры таких компаний?<br> Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE... (Sw00p aka Jerom) https://opennet.me/openforum/vsluhforumID3/132726.html#278 Fri, 02 Feb 2024 13:00:22 GMT &gt; Тут задача из разряда "кто даст правильный ответ - тот получит 10 лет".<br><br>ага, "кто купит билетов пачку" ... XD<br><br>Обратим внимание на данное утверждение:<br><br>"""<br>что главной причиной сбоя стало несовершенство программного обеспечения, используемого при создании ключей шифрования.<br>"""<br><br>Вопрос, какого ПО? Сделаю предположение - самописного, своего рода "панель управления", в которой можно сгенерить ключ для зоны и подписать записи. Отсюда:<br><br>"""<br>Как и любое другое технологическое решение, DNSSEC требует усовершенствования с течением времени, чтобы исправить обнаруживаемые ошибки работы.<br>"""<br><br>Вопрос, так DNSSEC требует усовершенствование или ваше "самопальное" ПО?<br><br>"""<br>Возникшая коллизия ключей<br>"""<br><br>Предполагаем возникновение коллизии созданного ключа. Как вы заметили, коллизия с хешем может быть от ключа, но с каким другим ключом? При генерации нового ключа (ZSK) существует ОДИН текущий актуальный активный ключ. Вероятно их ПО при запросе на переподписывании выбирало ключ из (где они там хранят Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE... (n00by) https://opennet.me/openforum/vsluhforumID3/132726.html#277 Fri, 02 Feb 2024 10:00:42 GMT Тут задача из разряда "кто даст правильный ответ - тот получит 10 лет".<br> Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE... (Аноним) https://opennet.me/openforum/vsluhforumID3/132726.html#276 Fri, 02 Feb 2024 08:33:59 GMT роскомпозор пилит суверенный днс с подменой ключей, больше всех попали мобильные у которых сорм по умолчанию. <br> Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE... (Sw00p aka Jerom) https://opennet.me/openforum/vsluhforumID3/132726.html#275 Fri, 02 Feb 2024 06:48:00 GMT Допускаем, сгенерировали 1024 битный ZSK ключ rsa, его хеш sha256 (ибо algo_id=8) как вы говорите столкнулся c хешем какого ключа? Со старым ключем ZSK? Ну и что? <br> Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE... (Sw00p aka Jerom) https://opennet.me/openforum/vsluhforumID3/132726.html#274 Fri, 02 Feb 2024 06:23:17 GMT - Почему у тебя нос сломан?<br>- Потому-что он столкнулся (коллизия) с чужим кулаком<br><br>Счастливое число Слэвина (ц)<br> Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE... (n00by) https://opennet.me/openforum/vsluhforumID3/132726.html#273 Fri, 02 Feb 2024 04:56:16 GMT Коллизия - это, например, когда хеши от разных данных совпали. Тут требуется квалифицированный конспиролог, способный объяснить, почему поля Галуа весьма далеки от Эйфелевой башни.<br>