У трех компаний рунет без глазу
Неправильная настройка подписей нарушила работу зоны .ru
Сайты, размещающиеся на доменах .ru, стали недоступны для пользователей интернета в России и мире из-за некорректной настройки DNSSEC. Подобные инциденты ранее случались и в других сегментах сети, например в Австралии. Проблема, по данным «Ъ», произошла из-за действий администратора зоны, Координационного центра доменов .RU/.РФ или его подрядчиков. Система имен, созданная по закону о «суверенном рунете», восстановилась быстрее общемировой, однако это может объясняться тем, что в нее легче вносить изменения.
Фото: Александр Коряков, Коммерсантъ
Вечером 30 января сервера доменных имен (DNS), отвечающие за работоспособность сайтов в домене верхнего уровня .ru, получили некорректные настройки DNSSEC, следует из данных сайта DNSViz. Это привело к тому, что некоторые сайты, размещающиеся на доменах в зоне .ru, стали недоступными. Источник «Ъ» в телеком-отрасли сообщил, что проблемы произошли на этапе проверки информации, полученной провайдерами от DNS-серверов домена верхнего уровня .ru. По данным облачного провайдера Yandex Cloud, проблемы с DNS доменов верхнего уровня наблюдались с 19:43 по московскому времени и были исправлены в 21:41.
DNS — это протокол, который позволяет сопоставлять домены сайтов и IP-адреса серверов, на которых размещаются сайты. DNSSEC — это расширения протокола, использующие систему цифровых подписей для верификации ответов от DNS-серверов. «DNSSEC используется в целях безопасности — чтобы не было подмены адресов на уровне отдельных доменов и всей зоны. Именно с этим сервисом произошла проблема, и у нее глобальный характер»,— сказал «Ъ» директор по информационным технологиям Ru-Center Евгений Мартынов.
Сбои наблюдались в работе большинства мобильных приложений крупнейших банков, свидетельствуют многочисленные отзывы их клиентов. В 21:05 большинство крупных банков восстановили работоспособность приложений. По словам собеседников «Ъ» на банковском рынке, сложности, возникшие в работе приложений, не привели к денежным рискам, но клиенты на какое-то время лишились возможности пользоваться мобильными приложениями для осуществления переводов и оплаты по QR-кодам через СБП.
В ответ на запросы «Ъ» проблемы с доступом пользователей к своим сайтам признали «Букмейт» (принадлежит «Яндексу») и онлайн-кинотеатр Start — они, однако, указали, что это связано с общими сбоями в сети, а не с работой сервисов. В маркетплейсе Ozon сообщили, что сроки выдачи заказов, которые надо было забрать 30 января, из-за интернет-сбоя продлят на два дня; в Wildberries сообщили, что продлят сроки хранения заказов, лежащих на полке.
В МТС отказались от комментариев. В «МегаФоне» «Ъ» сказали, что фиксировали снижение объемов трафика в российском сегменте интернета. «Проблема не на сети “МегаФона”, наша сеть работает штатно». В «Вымпелкоме» заявили, что их сеть работает штатно. «Возможные сбои в работе интернет-ресурсов вне зоны ответственности “Билайна”».
За работу доменов .ru отвечают три организации: Координационный центр .RU/.РФ (КЦ) является администратором зоны, MSK-IX — поддерживает инфраструктуру и сервера DNS, а также «Технический центр Интернет» (ТЦИ) — обслуживает реестр доменов .ru. В КЦ в 20:14 сообщили «Ъ», что специалисты двух других структур работают над устранением проблемы и «идут восстановительные работы».
При этом там отметили, что для тех, кто подключился к национальной системе доменных имен (НСДИ, альтернативная DNS-инфраструктура, предусмотренная законом о «суверенном рунете»), проблема уже была решена.
В Роскомнадзоре, чья структура (ЦМУ ССОП ГРЧЦ) отвечает за работу НСДИ, также заявили о штатной работе «суверенной» системы, а вопросы по поводу работы DNS перенаправили в ТЦИ, там на запрос не ответили. В MSK-IX в ответ на запрос сообщили, что «разбираются в ситуации», и попросили ориентироваться на информацию Минцифры (министерство в 20:21 продублировало в своем Telegram-канале информацию КЦ).
Неправильные настройки DNSSEC могут приводить к недоступности целых зон интернета: подобные случаи, в частности, документирует интернет-проект IANIX. Последний раз подобная проблема происходила 18 сентября 2023 года: тогда около часа не работали около 15 тыс. доменов зоны .au (Австралия). В масштабах целого домена верхнего уровня такое происходило 9 марта 2022 года с .fj (Фиджи).
Доступность сайтов, по мнению источника «Ъ», зависит от каждого конкретного элемента интернета: «В большей степени сбоям подвержены малые операторы, у которых нет ресурсов или экспертизы для того, чтобы оперативно прекратить кэшировать ошибочные DNS-записи». Он полагает, что проблемы возникли из-за действий Координационного центра .RU/.РФ как администратора зоны или его подрядчиков — MSK-IX или ТЦИ: «Так или иначе именно координационный центр подписывает изменения». Причастность Роскомнадзора к сбою он счел маловероятной, так как тот не имеет непосредственного доступа к глобальной инфраструктуре. Тот факт, что в НСДИ сбои были устранены быстрее, он объясняет тем, что в эту систему легче внести изменения.