Если вы находитесь в России или планируете в нее возвращаться, вам нельзя репостить наши материалы в соцсетях, ссылаться на них и публиковать цитаты.
Подробнее о том, что можно и нельзя, читайте в карточках.
Что произошло?
Вечером 30 января в работе сайтов и сервисов в доменахДомен — это имя сайта, которое содержится в каждой ссылке. Например, doxa.team .RU и .РФ произошел крупный сбой. Как сообщает телеграм-канал «Код Дурова», перестали работать сотни сервисов.
В Координационном центре доменов .RU/.РФ сообщили, что проблема была связана с протоколом безопасности DNSSEC. Через несколько часов там заявили об устранении неполадок. При этом в Минцифры отметили, что трудности с доступом к сервисам могут наблюдаться еще некоторое время.
DNS (Domain Name System) — Система доменных имен, один из основных протоколов интернета, был разработан в 1985 году. Доменное имя — это, например, doxa.team
DNSSEC — набор расширений протокола DNS. Он помогает клиентам (компьютерам и смартфонам) безопасно отправлять и получать информацию о доменах. DNSSEC позволяет проверить, что злоумышленник не подменяет домены, например, для фишинга. О том, что такое фишинг и как не стать его жертвой, мы писали здесь.
Почему случился сбой?
Филипп Кулин, автор телеграм-канала о блокировках интернета «Эшер II», также связал проблему с DNSSEC.
Мы поговорили с эксперт:ками по цифровым правам. Они считают, что сбой мог быть связан с ошибкой при перевыпуске секретных ключей для подписи и верификации доменных записей. Эксперт:ки назвали эту процедуру «рядовой».
По другой версии, сбой возник в результате попытки добавить фальшивые ключи шифрования. «Возможно, чтобы у ФСБ была возможность вмешаться и компрометировать ответы, подписывая этой самой фальшивой подписью».
Для проверки подлинности доменного имени (и не только) используется цифровая подпись.
Чтобы сделать цифровую подпись, нужна пара ключей — закрытый и открытый. Закрытый ключ известен только своему владельцу, открытый ключ общеизвестен.
Владелец (например, Координационный центр доменов .RU/.РФ) заверяет под доменное имя закрытым ключом. Другой клиент (например, ваш компьютер) с помощью открытого ключа верифицирует подпись владельца, убеждаясь, что она действительно ему принадлежит.
Цифровая подпись позволяет вашему компьютеру удостовериться в том, что заходя на сайт, вы открываете действительно его.
Периодически ключи обновляют, выпуская их заново. Именно во время такой процедуры и произошел сбой.
Такое уже происходило раньше?
«Попытки подменить подписанные DNSSEC сервера DNS серверами НСДИ (национальной службы доменных имен) ранее открыто не фиксировались», — сообщили DOXA в одном из правозащитных проектов.
Однако в других странах сбои в работе DNSSEC уже возникали. Из-за некомпетентности людей, ответственных за перевыпуск и перезаверение секретных ключей, в мае 2023 года аналогичный сбой произошел в Новой Зеландии с доменом .NZ. «Там процедура таки была автоматизирована и работала, но в последний год они изменили одну из систем, [задействованных в процедуре], и недостаточно оттестировали последствия обновления», — объясняют в организации, занимающейся цифровыми правами.
В Новой Зеландии проблемы удалось устранить достаточно быстро, но на восстановление работы ресурсов все равно потребовалось 48 часов. Это было связано с тем, что у большинства провайдеров «поломанные» ответы остались в кэше на это время.
DNS построен, как дерево, и на каждом узле происходит кэширование, чтобы ускорить работу и повысить надежность.
Поэтому, если допустить ошибку в начале дерева, недостаточно исправить ее там же, так как она растекается по «листьям» дерева и остается там в кэше на какое-то время.
Действительно ли в России все починили?
В организации, с которой поговорила DOXA, считают, что работу ресурсов на российских доменах починили весьма условно: «Просто вернули последний слепок, у которого была валидная подпись, но новых обновлений [доменной] зоны с тех пор нет. Сейчас невозможно ни делегировать в DNS купленные сегодня (31 января) и вчера (30 января), начиная с обеда, домены в зоне .RU, ни вносить какие-либо изменения в информацию о них (например, нельзя сменить серверы имен)».
Если все действительно так, то у людей, работающих с российскими доменами, сейчас на руках нет валидного ключа, который нужен, чтобы заверять все новые изменения. Под видом актуального там продолжает оставаться старый слепок. В этом случае новые домены в зоне .RU/.РФ зарегистрировать невозможно.
Могла ли поломка быть связана с работой цензурных органов? Есть ли связь с недавними отключениями интернета в некоторых регионах?
«Никакой связи с работой цензурных органов я не вижу, хотя 100% исключать не могу, — говорит Филипп Кулин. — Это технический сбой. Техника отказывается ходить строем».
Правозащитни:цы тоже считают, что сбои в работе DNSSEC и, например, недавние блокировки мессенджеров в Якутии и Башкортостане на фоне протестов скорее не связаны.
Какова вероятность, что подобный массовый сбой может повториться?
Правозащитни:цы считают, что аналогичный сбой с большой вероятностью случится снова. Они объясняют это продолжением реализации закона «О суверенном Рунете»Поправки, внесенные в закон «Об информации» в 2019 году. Они предусматривают в том числе создание национальной системы доменных имен и обязательство операторов связи устанавливать гособорудование на точках обмена трафиком..
«Вероятность всегда есть, — говорит Филипп Кулин. — Конечно же, есть профессионалы и регламенты реагирования на сбои, которые должны уменьшить ущерб, иногда до нуля, но не в этот раз».