Роскомнадзор пояснил дальнейшие действия российским провайдерам и владельцам автономных систем после инцидента с DNSSEC

30 января в 18:40 зафиксирован инцидент в работе DNS-серверов (находятся в управлении АО «ЦВКС «МСК-IX» и ООО «ТЦИ»). Техническая проблема затронула сервисы некоторых российских провайдеров. Обращение части пользователей к сайтам в зоне *.RU могло быть временно затруднено.

Что делать российским провайдерам и владельцам автономных систем, чтобы пользователи всегда имели возможность доступа к вашим ресурсам? Используйте функционал Национальной системы доменных имён (НСДИ).

Для настройки подключения к публичным серверам (резолверам) НСДИ оператору связи необходимо изменить и/или добавить в список DNS-серверов для конечного клиента адреса НСДИ: 195.208.4.1 и 195.208.5.1. Любой из этих адресов может быть использован в качестве основного или дополнительного DNS-сервера.

Специалисты Технического центра Интернет и МСК-IX устранили проблему в 22:13 30 января. Если вы отключали подписи достоверности и целостности данных (DNSSEC), необходимо восстановить валидацию DNSSEC на ваших DNS-серверах.

Ранее профильный эксперт опубликовал таймлайн сетевого инцидента с резолвом доменных имён в зоне RU (сломался DNSSEC). Источники СМИ назвали вероятной причиной этой проблемы «действия администратора зоны, Координационного центра доменов .RU/.РФ или его подрядчиков». Инцидент длился около 4 часов из-за неправильной подписи зоны DNSSEC.

В процессе инцидента специалисты Центра мониторинга и управления сетью связи общего пользования (ЦМУССОП) советовали провайдерам и операторам связи отключить DNSSEC, хотя это небезопасно и может привести к проблемам с появлением мошеннических сайтов и увеличением инцидентов, связанных с фишингом.

В сентябре 2021 года «Ростелеком» попросил своих клиентов внести изменения в DNS-адресацию и запретить к использованию для выдачи абонентам с BRAS и DHCP и в технологических сетях сервисы DNS от Google, Cloudflare и Cisco OpenDNS. Оператор связи настоятельно рекомендует вместо них установить DNS от «Ростелекома» и НСДИ (Национальную систему доменных имен). «Ростелеком» посоветовал в случае массового обращения клиентов не рекомендовать им продолжать использовать общедоступные бесплатные публичные DNS-сервисы Google и Cloudflare, а вручную перенастроить их на DNS от «Ростелекома» и НСДИ.