Сайты в доменной зоне .RU перестали открываться как в России, так и за границей. Причиной этого стали изменения, внесенные в ключ DNSSEC — дополнения к протоколу DNS, сделанные для безопасности. В настоящее время для ключей национальной доменной зоны .RU стоит пометка BOGUS (то есть «фальшивый»). По IP зарегистрированные в России сайты доступны, однако по домену (имени сайта) соединения нет. Перестали работать не только сайты, но и банковские приложения, например, Сбербанка, Тинькофф, маркетплейсов OZON, Wildberries, Авито, а также приложения мобильных операторов.
Опрошенные The Insider эксперты склоняются к тому, что поломка произошла во время ротации ключей DNSSEC. Эти ключи обновляются в среднем с периодичностью раз в год. Координационный центр доменов .RU/.РФ — российская некоммерческая организация, которая отвечает за функционирование доменной зоны, — подтвердила информацию о сбое. «Специалисты технического центра Интернет и МСК-IX работают над ее устранением. В настоящее время для абонентов НСДИ проблема решена. Идут восстановительные работы», — заявили в центре. Доступ к сайтам в зоне .RU будет восстановлен в ближайшее время, заявили в Минцифры. Восстановление доступа может занять до четырех дней, отметил в разговоре с The Insider независимый IT-эксперт, говоривший на условиях анонимности.
Состояние ключа подписи доменной зоны .RU до и после внесения изменений 30 января 2024 года
Опрошенные эксперты сходятся во мнении, что наиболее вероятная причина поломки — «кривые руки». Учитывая характер нарушения работы сайтов, можно предположить, что вмешательство было в момент ротации ключей — регулярного обновления ключа DNSSEC. Как правило, это действие происходит автоматически. По мнению одного из опрошенных экспертов, ответственные сотрудники Координационного центра могли просто не обновить ключи вовремя или внести обновление с ошибкой, из-за чего перестало работать множество сайтов. Фактически, открываются сайты только у тех пользователей, операторы которых ранее отключили себя от DNSSEC, то есть сделали себя менее безопасными для пользователей.
«Добавили новый ключ, не проверили, переключились на него, всё поломалось», - объяснил The Insider эксперт по интернет-сетям Алексей Семеняка.
Главред SecurityLab.ru Александр Антипов в беседе с The Insider рассказал, что проблема, вероятнее всего, в «кривых» настройках DNSSEC, а не блокировках.
«Проблема в самой зоне .ru. Так как DNSSEC настроен, но криво, то возвращаемые записи не проходят валидацию. Тут либо ждать пока они починят (либо вообще отключат), либо искать рекурсивные сервера, что не проверяют подлинность. Сегодняшние трудности с доступом к сайтам вряд ли связаны с блокировками, поскольку блокируется протокол прикладного уровня, который должен как раз обеспечивать стабильность Рунета.
Когда мы заходим на какой-нибудь сайт, DNS возвращает его IP-адрес. При этом ответ подписывается. Сейчас эти подписи невалидные. Есть вариант вообще отключить протокол, тогда все будет без подписей (небезопасно, но нестрашно), либо ждать, когда починят. Так как DNS-запросы кешируются (обычно до недели), то существует видимость того, что не все сломалось».