Вечером 30 января случился масштабный сбой в российском сегменте интернета: многие сайты в зоне .RU перестали открываться. В течение двух часов не работали сайты и приложения банков, маркетплейсов и других интернет-сервисов.

В Минцифры пояснили, что проблема была связана с глобальной инфраструктурой DNSSEC.

Что такое DNS и DNSSEC

Сайты и серверы определяются по IP-адресам: например, сайт Rozetked размещён на IP-адресе 172.67.194.145. Но запомнить комбинацию чисел сложно, а ошибиться при наборе и попасть на другой сайт — легко.

Поэтому в 1980-x и придумали DNS — систему доменных имён. Сайту присваивается не только IP, но и доменное имя — например, rozetked.me или ya.ru. Когда пользователь вводит в адресной строке браузера доменное имя и нажимает на Enter, компьютер обращается к серверу DNS, где записано, какой IP-адрес соотносится с этим доменом.

40 лет назад количество пользователей интернета исчислялось сотнями людей, и потребности в сложной системе защиты DNS не было. Поэтому серверы DNS при запросах друг другу не могли проверить подлинность ответа. При таком сценарии подменить IP-адрес не составляет труда. Например, так злоумышленники могут перенаправить запрос пользователя к онлайн-банкингу на поддельную страницу авторизации. Пользователь вводит логин и пароль от аккаунта — и эти данные тут же попадают в руки хакеров.

Проблему решает DNSSEC — набор расширений протокола DNS, который подтверждает подлинность данных. Корневой сервер DNS подписывает криптографическим ключом данные для серверов доменов верхнего уровня — .RU, .COM, .ORG и так далее. А те — для серверов доменов второго уровня — например, rozetked.me.

Чем вызван сбой

IT-специалист и автор Telegram-канала «Эшер II» Филипп Кулин рассказал, что домены в зоне .RU получили неправильную DNSSEC-подпись, поэтому DNS-серверы на других уровнях возвращали ошибку. Возможно, дело в неверной конфигурации доменной зоны.

Источник газеты «Коммерсантъ» считает, что проблемы возникли из-за действий Координационного центра .RU/.РФ (администратор зоны) или его подрядчиков — MSK-IX (отвечает за инфраструктуру DNS) или организации «Технический центр Интернет» (обслуживает реестр доменов .RU).