Сбой в DNSSEC нарушил работу доменов в зоне NZ.
В Новой Зеландии регистратор доменной зоны «.nz» InternetNZ сообщил о серьезных проблемах с разрешением доменных имён в этой зоне и 15 связанных вторичных зонах, таких как «co.nz» и «net.nz». Причиной сбоев стала ошибка, которая произошла при ротации ключей KSK (Key Signing Key), используемых для подписи записей DNSKEY с ключами ZSK (Zone Signing Key), отвечающими за подпись доменной зоны.
После инцидента на DNS-серверах, применяющих DNSSEC для проверки достоверности данных, перестали определяться все домены в зоне «.nz». Попытка определения приводит к возвращению сервером ошибки SERVFAIL.
InternetNZ ввел технологию DNSSEC в доменную зону «.nz» более десяти лет назад и каждый год проводил обновление ключей KSK. В этом году процесс ротации ключей прошел как обычно, но администраторы не учли, что в конце прошлого года была запущена новая информационная система регистратора, в которой формат ключей немного отличался от предыдущего. Это различие не было обнаружено при тестировании и интеграции новой платформы. В результате администраторы не проверили процесс ротации ключей в новых условиях и не заметили, что при разрешении имён на DNS-серверах не проходит проверка цифровых подписей с помощью KSK-ключа корневой зоны.
Ситуация осложняется тем, что неверные записи с ключами остались в кэше DNS-серверов и для быстрого восстановления работы доменов администраторам рекурсивных серверов нужно вручную очистить кэш. Для этого обычно достаточно перезагрузить DNS-сервер. Если этого не сделать, то для возобновления работы доменов придется ждать истечения срока жизни записей DNSSEC, который для новозеландской зоны составляет 48 часов.
Одно найти легче, чем другое. Спойлер: это не темная материя