Ошибка при обновлении ключей DNSSEC привела к нарушению работы доменной зоны NZ
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
Новозеландский регистратор InternetNZ, отвечающих за доменную зону ".NZ", предупредил об инциденте, в результате которого возникли массовые сбои в разрешении доменных имён в зоне ".nz" и 15 связанных вторичных зонах, таких как "co.nz" и "net.nz". Причиной сбоя стала ошибка, допущенная при ротации KSK-ключей (Key Signing Key), применяемых для цифровой подписи записей DNSKEY, содержащих ключи для подписи доменной зоны (ZSK, Zone Signing Key). После инцидента на DNS-серверах, применяющих DNSSEC для проверки достоверности данных, перестали определяться все домены в зоне ".nz" (попытка определения приводит к возвращению сервером ошибки SERVFAIL).
Регистратор доменной зоны ".nz" внедрил DNSSEC более десяти лет назад и с тех пор ежегодная ротация ключей превратилась в рутину. В этом году ротация была выполнена в привычном режиме, но администраторы не учли, что в конце прошлого года была внедрена новая информационная система регистратора, в которой формат ключей немного отличался от прошлой и данное отличие не было выявлено во время тестирования и интеграции новой платформы. Администраторы не учли наличие отличий и предварительно не протестировали процесс ротации в новых условиях, что привело к тому, что при определении имён на DNS-серверах перестала проходить проверка цифровых подписей с использованием KSK-ключа корневой зоны.
Проблема усугубляется тем, что ошибочные записи с ключами осели в кешах DNS-серверов и для оперативного возобновления нормальной работы администраторам рекурсивных серверов требуется вручную очистить кэш (обычно достаточно перезапустить DNS-сервер). В противном случае для возобновления определения доменов ".nz" необходимо ждать завершения срока действия записей DNSSEC, время жизни которых для зоны ".nz" выставлено в 48 часов (инцидент произошёл вечером 29 мая, поэтому для истечения времени жизни записи придётся ждать более суток).
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://news.ycombinator.com/i...)
- OpenNews: ICANN призывает к повсеместному внедрению DNSSEC
- OpenNews: Фундаментальная уязвимость в DNS
- OpenNews: Инициатива DNS flag day 2020 для решения проблем с фрагментацией и поддержкой TCP
- OpenNews: Новый вариант атаки SAD DNS для подстановки фиктивных данных в кэш DNS
- OpenNews: Крупнейшие DNS-сервисы и серверы прекратят поддержку проблемных реализаций DNS
Похожие новости:
- Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости, связанной с утечкой DNS-запросов
- Выпуск PowerDNS Authoritative Server 4.7
- Лаборатория Касперского получила патент на фильтрацию DNS-запросов
- Выпуск кэшируюшего DNS-сервера PowerDNS Recursor 4.7.0
- Обновление DNS-сервера BIND c устранением уязвимости в реализации DNS-over-HTTPS
- Уязвимость в uClibc и uClibc-ng, позволяющая подменить данные в кэше DNS
- Обновление DNS-сервера BIND 9.11.37, 9.16.27 и 9.18.1 c устранением 4 уязвимостей
- Выпуск PowerDNS Authoritative Server 4.6
- Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и DNS-over-HTTPS
- Выпуск кэшируюшего DNS-сервера PowerDNS Recursor 4.6.0
Теги для поиска: #_dnssec, #_dns
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 15-Май 15:56
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
|
Новозеландский регистратор InternetNZ, отвечающих за доменную зону ".NZ", предупредил об инциденте, в результате которого возникли массовые сбои в разрешении доменных имён в зоне ".nz" и 15 связанных вторичных зонах, таких как "co.nz" и "net.nz". Причиной сбоя стала ошибка, допущенная при ротации KSK-ключей (Key Signing Key), применяемых для цифровой подписи записей DNSKEY, содержащих ключи для подписи доменной зоны (ZSK, Zone Signing Key). После инцидента на DNS-серверах, применяющих DNSSEC для проверки достоверности данных, перестали определяться все домены в зоне ".nz" (попытка определения приводит к возвращению сервером ошибки SERVFAIL). Регистратор доменной зоны ".nz" внедрил DNSSEC более десяти лет назад и с тех пор ежегодная ротация ключей превратилась в рутину. В этом году ротация была выполнена в привычном режиме, но администраторы не учли, что в конце прошлого года была внедрена новая информационная система регистратора, в которой формат ключей немного отличался от прошлой и данное отличие не было выявлено во время тестирования и интеграции новой платформы. Администраторы не учли наличие отличий и предварительно не протестировали процесс ротации в новых условиях, что привело к тому, что при определении имён на DNS-серверах перестала проходить проверка цифровых подписей с использованием KSK-ключа корневой зоны. Проблема усугубляется тем, что ошибочные записи с ключами осели в кешах DNS-серверов и для оперативного возобновления нормальной работы администраторам рекурсивных серверов требуется вручную очистить кэш (обычно достаточно перезапустить DNS-сервер). В противном случае для возобновления определения доменов ".nz" необходимо ждать завершения срока действия записей DNSSEC, время жизни которых для зоны ".nz" выставлено в 48 часов (инцидент произошёл вечером 29 мая, поэтому для истечения времени жизни записи придётся ждать более суток). =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 15-Май 15:56
Часовой пояс: UTC + 5