Как неверные настройки DNS-резолвера могут повлиять на доступность национальных доменных имен
KazNIC, известный как Регистратура доменных имен .KZ и .ҚАЗ, завершил внедрение технологии DNSSEC для национальных доменных имен. 12 января 2023 электронные ключи наших доменов были добавлены на корневые серверы, замыкая цепочку доверия и делая доступной данную технологию для пользователей доменов .KZ и .ҚАЗ.
Вкратце: DNSSEC - технология электронной цифровой подписи доменных имен, позволяющая удостовериться в подлинности информации об адресах (доменах) и исключающая возможность фальсификации такой информации для пользователей сети Интернет третьими лицами. Технология предусматривает создание и периодическую смену электронных ключей Key Signing Key (KSK) и Zone Signing Key (ZSK). Общепринято менять ключ KSK один раз в год, а ключ ZSK - один раз в квартал. Периодическая смена ключей для национальных доменов предусмотрена и у нас.
13.03.2023 была произведена генерация ключа ZSK, подписание фалов зон национальных доменов и их публикация на DNS серверах, обслуживающих наши домены. Все процедуры прошли штатно, DNS серверы регистратуры корректно обновились.
Спустя некоторое время было обнаружено, что некоторая часть пользователей сети, в основой массе с территории РК, обнаружили невозможность получить доступ к сайтам в доменах .KZ и .ҚАЗ
В результате выяснения причин было выявлено, что кеширующие DNS серверы (резолверы) операторов "Казахтелеком" и Tele2 выдавали своим пользователям устаревшую информацию о зонах из-за отличий в настройках от стандартных. Владельцы доменных имен публикуют в своих зонах параметр Time To Live (TTL), дающий указания кэш-серверам в сети Интернет о периоде валидности такой информации от его владельца. Нестандартные настройки кэш-серверов позволяют значительно снизить DNS трафик c риском выдачи устаревшей информации клиенту. Без технологии DNSSEC такой подход вполне работал и не приводил к отказам. С внедрением технологии DNSSEC, резолверы не будут выдавать устаревшую информацию по причине невалидности электронных ключей по сроку давности. Что и произошло вчера.
Нами были сделаны соответствующие выводы и внесены изменения в процедуры формирования ключей и подписания зон для того, чтобы избежать в дальнейшем повторения подобных инцидентов по причине “кривой” настройки DNS операторами и провайдерами.
Эпилог. KazNIC - некоммерческая организация, уставной целью которой является поддержка национальных доменных имен в сети Интернет. Мы не вступаем в конкуренцию с операторами связи и провайдерами Интернет. На площадке точки обмена трафиком KazNIX сосредоточено большое количество серверов DNS, включая четыре корневых сервера D-ROOT, I-ROOT, K-ROOT, L-ROOT. Доменная инфраструктура Казахстана признана специалистами ICANN лучшей в Центральной Азии.
Должен признаться, что KazNIX работает вопреки нормам закона РК "О связи", согласно которым деятельность точек обмена трафиком признается государственной монополией. По слова Nurlan Meirmanov это обстоятельство служит препятствием для включения в KazNIX. "Казахтелеком" предпочитает не только экономить, но и зарабатывать, и получает DNS информацию по 100мб каналу, за который KazNIC еще и оплачивает "Казахтелекому" по корпоративному тарифу по транзиту трафика в сеть Интернет для своих внутренних нужд.
Мы неоднократно обращались к руководству "Казахтелекома" на самых разных уровнях, предлагая включение на портах 10G для исключения возможных задержек критически важного для КТ трафика DNS через 100мб канал, загруженный транзитом KazNIC на безвозмездной основе и без обязательств по обмену трафика с остальными операторами/участниками точки обмена, приводя статданные потребления трафика DNS и сервера точного времени на площадке KazNIX.
Куанышбек Есекеев, интересы пользователей, достоверность предоставляемой вами информации своим абонентам вчера была нарушена. Предлагаю больше не откладывать эти вопросы в "долгий ящик". Произошедшее вчера это только "цветочки". Без решения назревших вопросов будут и "ягодки"…
Друзья, поддержите пост комментариями. Кто изображен на тематической картинке, сгенерированной ИИ, по вашему мнению?
Источник: страница Павла Гусева в Facebook.
ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ И ЧИТАЙТЕ НАС В TELEGRAM!
