Новозеландский регистратор InternetNZ, отвечающих за доменную зону «.NZ», предупредил об инциденте, в результате которого возникли массовые сбои в разрешении доменных имён в зоне «.nz» и 15 связанных вторичных зонах, таких как «co.nz» и «net.nz». Причиной сбоя стала ошибка, допущенная при ротации KSK-ключей (Key Signing Key), применяемых для цифровой подписи записей DNSKEY, содержащих ключи для подписи доменной зоны (ZSK, Zone Signing Key). После инцидента на DNS-серверах, применяющих DNSSEC для проверки достоверности данных, перестали определяться все домены в зоне «.nz» (попытка определения приводит к возвращению сервером ошибки SERVFAIL).

Регистратор доменной зоны «.nz» внедрил DNSSEC более десяти лет назад и с тех пор ежегодная ротация ключей превратилась в рутину. В этом году ротация была выполнена в привычном режиме, но администраторы не учли, что в конце прошлого года была внедрена новая информационная система регистратора, в которой формат ключей немного отличался от прошлой и данное отличие не было выявлено во время тестирования и интеграции новой платформы. Администраторы не учли наличие отличий и предварительно не протестировали процесс ротации в новых условиях, что привело к тому, что при определении имён на DNS-серверах перестала проходить проверка цифровых подписей с использованием KSK-ключа корневой зоны.

Проблема усугубляется тем, что ошибочные записи с ключами осели в кешах DNS-серверов и для оперативного возобновления нормальной работы администраторам рекурсивных серверов требуется вручную очистить кэш (обычно достаточно перезапустить DNS-сервер). В противном случае для возобновления определения доменов «.nz» необходимо ждать завершения срока действия записей DNSSEC, время жизни которых для зоны «.nz» выставлено в 48 часов (инцидент произошёл вечером 29 мая, поэтому для истечения времени жизни записи придётся ждать более суток).

Источник: http://www.opennet.ru/opennews/art.shtml?num=59217