разбор

Cайты в зоне .RU внезапно перестали открываться. Власти готовят Рунет к изоляции? Это лишь одна из версий сбоя

7 карточек
  • Что случилось?
  • И с чем связан такой масштабный сбой?
  • Что это еще за DNSSEC?
  • И кто все сломал?
  • Это что еще за система?
  • А можно ли как-то подготовиться к подобным сбоям?
  • А нынешний сбой уже устранили?
1

Что случилось?

30 января многие интернет-пользователи в России и за ее пределами столкнулись с тем, что у них перестали открываться сайты в доменной зоне .RU.

В числе ресурсов, с доступом к которым возникли проблемы, пользователи называли «Яндекс», «ВКонтакте» и Ozon. Кроме того, жалобы поступали на работу сайтов крупных банков и маркетплейсов. Проблемы с доступом к российским сайтам возникли и у пользователей за рубежом.

И это не все проблемы, с которыми столкнулись пользователи

2

И с чем связан такой масштабный сбой?

Эксперты объяснили сбой проблемами в работе DNS.

DNS — Domain Name System — это иерархическая децентрализованная система для преобразования удобных для человека доменных имен (например, meduza.io) в числовые IP-адреса (например, 5.255.255.77 для сайта «Яндекса»). Эта система позволяет пользователям легко запоминать адреса веб-сайтов и электронной почты.

Специалист по блокировкам Филипп Кулин конкретизировал проблему: «У зоны RU сломался DNSSEC». Это позже подтвердили и в Министерстве цифрового развития, связи и массовых коммуникаций РФ (Минцифры):

Возникла техническая проблема, затронувшая зону .RU, связанная с глобальной инфраструктурой DNSSEC. Специалисты Технического центра Интернет и МСК-IX работают над ее устранением.

3

Что это еще за DNSSEC?

Так называется набор расширений протокола DNS, защищающих данные от подмены и подтверждающих их подлинность. Это достигается благодаря использованию публичных ключей и цифровых подписей. Если такая подпись проходит проверку, то соответствующая ей DNS-запись считается достоверной.

В DNSSEC каждый уровень иерархии в системе доменных имен подписывает данные для нижестоящего уровня. То есть корневой сервер подписывает своим ключом данные для доменов верхнего уровня (вроде .RU). А те своими ключами — домены второго уровня (например, kremlin.ru или theins.ru).

Вот с этими подписями и возникла проблема. «Домены в файле зоны RU подписались неправильно», — отметил Филипп Кулин.

Когда мы вводим URL в поле поиска браузера, то браузер вначале обращается к адресной книге (DNS), а оттуда получает данные об IP на который необходимо перейти, чтобы попасть на нужный нам сайт. Соединение доменного имени (привычного нам адреса) и IP (цифрового адреса) называется резолвинг. Однако если DNS не работает, то браузер не сможет найти сайт. DNS имеет защиту в виде цифровой подписи, которая называется DNSSEC. Она защищает эту главную адресную книгу от подмены злоумышленниками.

Источник: проект «Сетевые свободы»

4

И кто все сломал?

Мы не знаем. В теории это могли быть

  • успешная хакерская атака;
  • ошибка администраторов доменной зоны .RU;
  • неудачный эксперимент по тестированию работы Рунета в условиях изоляции.

Правозащитный проект «Сетевые Свободы» подробно остановился на последней версии:

Российские власти давно предупреждали, что постараются перевести всех пользователей страны на национальный сервер DNS. Вероятно, именно это сейчас и происходит с массой сайтов в зоне .ru.

При этом представители Минцифры тоже упомянули эту систему, заявив, что проблема в первую очередь была устранена «для абонентов Национальной системы доменных имен».

5

Это что еще за система?

Она предусмотрена законом о суверенном интернете, принятым в 2019 году. Национальная система доменных имен должна в теории защитить Рунет от внешней угрозы — потенциального изъятия доменов верхнего уровня (.RU и .РФ). Но она же может позволить российским властям пойти на самостоятельную изоляцию российского сегмента интернета.

6

А можно ли как-то подготовиться к подобным сбоям?

К сожалению, нет.

Практические советы, которые дают эксперты «Сетевых свобод», касаются лишь минимизации рисков для пользователей от подмены зарубежных ресурсов на иностранных доменах и методов противостояния возможной изоляции Рунета для владельцев сайтов. Вот эти рекомендации:

  • Пользователям — принудительно настроить использование DNS-серверов, не имеющих отношения к российским провайдерам, например Google 8.8.8.8.
  • Владельцам сайтов — учиться пользоваться сетями TOR или Yggdrasil, уводить свои ресурсы туда, подальше от контролируемых публичных DNS.
7

А нынешний сбой уже устранили?

По крайней мере, Минцифры заявляет, что специалисты устранили проблему, вызвавшую сбой:

Техническая проблема, связанная с глобальной инфраструктурой DNSSEC, вызвавшая недоступность сайтов в зоне .RU, устранена. Неполадки в работе DNS могут наблюдаться еще некоторое время, пока обновленные данные не разойдутся по системе доменных имен.

«Медуза»

  • (1) ООО «Технический центр Интернет»

    Эта компания обслуживает главный реестр и систему регистрации доменов .RU, .РФ, .SU, .ДЕТИ, .TATAR.

  • (2) МСК-IX

    Это крупнейшая сеть для обмена трафиком в России.

  • (3) Tor

    Браузер, использующий систему прокси-серверов, для анонимности в интернете.

  • (4) Yggdrasil

    Сетевой протокол, с помощью которого можно создать mesh-сеть (в которой узлы соединяются между собой по принципу «каждый с каждым», к примеру, по Wi-Fi; при этом все узлы равны между собой, а пользователи сами выступают провайдерами друг для друга), которая будет работать в режиме, позволяющем создать приватную сеть поверх интернета.