30 января примерно с 18.40 по московскому времени пользователи российского сегмента интернета стали сталкиваться с ошибками DNS-ресолвинга (преобразования запроса в IP-адрес, которое позволяет браузеру найти запрошенный пользователем сайт по имени) доменов, размещенных в зоне .RU.
DNS — это «адресная книга», откуда браузер получает данные об IP, на который необходимо перейти, чтобы попасть на запрошенный пользователем сайт.
Сбой затронул работу сервисов, сайты и службы которых используют домены в зоне .RU, в том числе практически все сервисы различных интернет-провайдеров.
В сервисе «Мониторинг сбоев» от Главного радиочастотного центра росло количество жалоб.
Проблемы наблюдались в работе крупнейших сайтов, включая «Яндекс», OZON, «Авито» и «Сбербанк». Не работали и многие мобильные приложения — например, для вызова такси.
Телегам-канал Rozetked отмечает, что трудности испытали абоненты «МегаФона», МТС и других операторов. Большинство сбоев зафиксированы в Москве, Санкт-Петербурге, Краснодарском крае, Башкирии и Костромской области. Но коснулись они не всех пользователей даже внутри одного и того же региона. Проблемы наблюдались и при попытке воспользоваться российскими приложениями из-за рубежа, а также при заходе на сайты с помощью сервисов обхода блокировок.
В Минцифры заявили, что проблема связана с DNSSEC, ведомство пообещало в ближайшее время восстановить доступ к сайтам. DNSSEC — это набор расширений протокола DNS, который позволяет проверять целостность и достоверность передаваемых и получаемых данных. Протоколы DNSSEC проверяют подлинность при помощи цифровых подписей, основанных на криптографии. Если подлинность подписи подтверждается, то данные DNS считаются настоящими и возвращаются пользователю. Если подпись не проходит проверку подлинности, то реcолвер предполагает, что произошла атака, избавляется от данных и сообщает пользователю об ошибке.
Причиной текущего сбоя стали массовые ошибки определения подлинности цифровых подписей доменов, размещенных в зоне .RU.
В 20.35 Координационный центр доменов .RU/.РФ опубликовал официальное заявление, в котором также заявил о «технической проблеме», связанной с DNSSEC: «Координационный центр доменов *.RU/.РФ сообщает, что возникла техническая проблема, затронувшая зону *.RU, связанная с глобальной инфраструктурой DNSSEC. Специалисты Технического центра Интернет и МСК-IX работают над ее устранением. В настоящее время для абонентов НСДИ проблема решена. Идут восстановительные работы. Мы будем держать вас в курсе ситуации».
НСДИ — это национальный сервис доменных имен. Именно эксперименты по его созданию, как предполагает проект «Сетевые свободы», могли привести к масштабному сбою. Авторы проекта пишут, что российские власти планировали перевести всех пользователей страны на национальный сервер DNS; возможно, это сейчас и происходит.
По данным телеграм-канала журналиста Михаила Климарева* «ЗаТелеком», Центр мониторинга и управления сетью связи общего пользования действительно направил провайдерам срочную директиву с требованием до 23.00 «выполнить требование РКН и подключиться к серверам НСДИ (Национальная система доменных имен)» и «отключить валидацию DNSSEC на DNS серверах», несмотря на то что отключение проверки цифровой подписи может привести к росту числа мошеннических операций.
Российские власти давно предупреждали, что постараются перевести всех пользователей страны на национальный сервер DNS. Вероятно, именно это и происходило в ночь на 31 января. Через несколько часов Рунет «починили».