В Новой Зеландии ошибка при обновлении ключей DNSSEC нарушила работу доменной зоны NZ
Новозеландский регистратор InternetNZ сообщил о массовых сбоях в разрешении доменных имён в зоне ».nz» и 15 связанных вторичных зонах, в том числе «co.nz» и «net.nz». Их вызвала ошибка, допущенная при ротации KSK-ключей (Key Signing Key), применяемых для цифровой подписи записей DNSKEY с ключами для подписи доменной зоны (ZSK, Zone Signing Key).
После инцидента на DNS-серверах, применяющих DNSSEC для проверки достоверности данных, перестали определяться все домены в зоне ».nz». Попытка определения приводит к возвращению сервером ошибки SERVFAIL.
Регистратор доменной зоны ».nz» внедрил DNSSEC более десяти лет назад. Он ежегодно проводил ротацию ключей, и в этом году она была выполнена в привычном режиме. Однако администраторы не обратили внимание, что в конце прошлого года была внедрена новая информационная система регистратора, в которой формат ключей немного отличался от прошлой. Это отличие не было выявлено во время тестирования и интеграции новой платформы. В итоге администраторы не протестировали процесс ротации в новых условия. Это привело к тому, что при определении имён на DNS-серверах перестала проходить проверка цифровых подписей с использованием KSK-ключа корневой зоны.
Сложность ситуации заключается в том, что ошибочные записи с ключами осели в кэшах DNS-серверов, и для оперативного возобновления нормальной работы администраторам рекурсивных серверов требуется вручную очистить кэш. Обычно для этого достаточно перезапустить DNS-сервер. В противном случае для возобновления определения доменов нужно ждать завершения срока действия записей DNSSEC, время жизни которых для новозеландской зоны составляет 48 часов.