Výmena hlavného kľúča Internetu zrejme spôsobila jeden vážny incident

Značky: DNSbezpečnosťInternet

DSL.sk, 18.10.2018

Minulotýždňová štvrtková výmena hlavného bezpečnostného podpisového kľúča systému DNSSEC zabezpečujúceho koreňovú root zónu systému DNS zrejme nakoniec predsa len spôsobila jeden vážny incident.

Hoci organizácia ICANN zodpovedná za prevádzku koreňovej zóny DNS avizovala aj po viacerých dňoch hladký priebeh výmeny tohto kľúča, podľa nemeckého heise.de výmena zrejme stála za masívnym výpadkom írskeho operátora Eir.

K výmene podpisového root kľúča root zóny DNS KSK-2010 za nový KSK-2017 prišlo vo štvrtok 11. októbra o 18:00 nášho času, problémy sa mohli začať prejavovať vzhľadom na cachovanie až o 48 hodín. Rekurzívny DNS server používajúci DNSSEC by následne nerozpoznával odpovede podpísané novým kľúčom a postupne by tak prestal užívateľom prekladať doménové mená na IP adresy.

A práve po cca 48 hodinách v sobotu 13. októbra poobede respektíve podvečer evidentne podľa sťažností zákazníkov prestali fungovať DNS servery tohto operátora. Bežní zákazníci to samozrejme vnímali ako nefungujúce pripojenie, mnohí zákazníci ale potvrdzujú že nefunkčné boli DNS servery prideľované operátorom a pri využívaní iných DNS pripojenie fungovalo.

Operátor zrejme zatiaľ nepotvrdil, že výpadok spôsobila výmena KSK kľúča root zóny. Podľa BBC potvrdil len všeobecne výpadok DNS.

Heise.de ale poukazuje aj na ďalšiu indíciu, že za problémom bola výmena KSK kľúča. Eir evidentne podľa skorších informácií mal DNSSEC nasadené. Že príčinou problémov bola výmena KSK úplne definitívne zrejme zatiaľ ale nie je potvrdené.

Jasné nie je ani ako presne dlho problémy trvali a kedy boli odstránené.




Najnovšie články:



Diskusia:

Aj O2-cz Od: ujo z ciech | Pridané: 18.10.2018 11:36 Na O2-cz adsl nesli slovenske domeny v tom case. Riesil som to DNSkou z googla. Odpovedať Známka: 8.2 Hodnotiť:

Re: Aj O2-cz Od: hnisavy_vred | Pridané: 18.10.2018 12:15 aj sa par ludi s UPC SK stazovalo ze im zle funguju niektore domeny, napr. gmail... Odpovedať Známka: 10.0 Hodnotiť:

Re: Aj O2-cz Od: hnisavy_vred | Pridané: 18.10.2018 12:17 ale samozrejme dovod mohol byt lubovolny, ja pouzivam 9.9.9.9 a na upc sk mi tiez chvilu podivne fungovali niektore domeny, ale mohlo to byt uplne inou chybou, mozno bolo nieco s tranzitom. Odpovedať Známka: 3.3 Hodnotiť:

Re: Aj O2-cz Od: cycy | Pridané: 18.10.2018 12:23 rovnako to mali aj ludia zo swanu, niektore domeny sa spravali divno, alebo ich nacitalo az na viacero pokusov ale ci to sposobilo toto neviem Odpovedať Známka: 10.0 Hodnotiť:

Re: Aj O2-cz Od: Freser | Pridané: 18.10.2018 12:31 Moje domace pripojenie fungovalo perfektne, hlaven ked som bol cely cas vonku Odpovedať Známka: 5.0 Hodnotiť:

Re: Aj O2-cz Od: hello | Pridané: 18.10.2018 15:22 Hahaha, to sme sa pobavili... Presne pre takéto vtipné komentáre sa sem všetci radi vraciame. Odpovedať Známka: 3.3 Hodnotiť:

Re: Aj O3-cz Od reg.: ujo horar | Pridané: 18.10.2018 15:55 samozrejme ze ked namieris hlaven spravnym smerom, zrazu sa da aj to co sa nedalo.. Odpovedať Hodnotiť:

Re: Aj O2-cz Od: asxc | Pridané: 18.10.2018 18:35 Takisto O2 mobilna siet v tom case chvilu nepoznala viacere slovenske domeny. Odpovedať Hodnotiť:

..... Od: -...- | Pridané: 18.10.2018 12:12 admin zaspal a neprehodil kluc Odpovedať Známka: 7.1 Hodnotiť:

klucluckluc Od: hihihiihih | Pridané: 18.10.2018 12:42 Man by vytocilo, keby mi vymenili doma kluc od vchodovych dveri :) Odpovedať Známka: 3.3 Hodnotiť:

Takže pozor! Od: awwda | Pridané: 18.10.2018 15:33 úplne definitívne zrejme zatiaľ ale nie je potvrdené :D Odpovedať Známka: 6.0 Hodnotiť:

UPC vs. Quad9 Od: UPCUser | Pridané: 18.10.2018 15:51 Ja mam internet tiez od UPC a pouzivam Quad9 DNS. Problemy sa objavili aj v mojom pripade. Odpovedať Známka: 3.3 Hodnotiť:

problém je u Od: jaaaaaaaaaaaj | Pridané: 18.10.2018 16:40 Ak to prevažnej väčšine šlo a sem-tam nie - nie je to problém výmeny kľúča ale menej schopných prevádzkovateľov... Odpovedať Hodnotiť:

len aby sa nezabudlo Od: meno nepoviem | Pridané: 18.10.2018 17:00 Cloudlare DNS server IPv4 1.1.1.1 1.0.0.1 IPv6 2606:4700:4700::1111 2606:4700:4700::1001 Odpovedať Známka: 5.0 Hodnotiť:

Re: len aby sa nezabudlo Od: reg.: Houston | Pridané: 18.10.2018 19:39 Tak potom este aj: Google 8.8.8.8 / 8.8.4.4 Quad9 9.9.9.9 OpenDNS 208.67.222.222 / 208.67.220.220 / 208.67.222.220 / 208.67.220.222 Comodo DNS 8.26.56.26 / 8.20.247.20 CleanBrowsing 185.228.168.9 / 185.228.168.10 bez XXX / 185.228.168.168 bez XXX a ineho Yandex DNS 77.88.8.8 / 77.88.8.7 bez XXX / 77.88.8.88 bez ineho Norton DNS 199.85.126.10 / 199.85.126.20 bez XXX / 199.85.126.30 bez XXX a ineho Norton konci k 15.11.2018! Odpovedať Známka: 5.6 Hodnotiť:

Re: len aby sa nezabudlo Od: -...- | Pridané: 19.10.2018 6:53 Keď chcem práveže len XXX? Odpovedať Známka: 10.0 Hodnotiť:

Re: len aby sa nezabudlo Od: reg.: Houston | Pridané: 19.10.2018 15:25 Gratulujem, prave si objavil dieru na trhu. Zaloz startup a budes milionar :-) Zdarma ti poradim aj ako v uvode spustit search engine: Posles dva requesty na Google, jeden normalny a druhy so zapnutym SafeSearch. Potom ukazes len DIFF. Odpovedať Známka: 10.0 Hodnotiť:

ultraradikalny faktizmus Od: syntaxterrorX .XX | Pridané: 19.10.2018 18:29 Prdlajs objavil. Tak je to predsa odjakziva priekazne nastavene na predplatenej karte Easy Pecka. http://dsl.sk/article.php?article=21718 Odpovedať Hodnotiť:

no hej Od: juju | Pridané: 19.10.2018 0:32 Velka siet nie je nekonecne kludne jazero a vzdy sa najdu admini co si spravia svoju pracu az ked aa nieco vymamlasi. Odpovedať Známka: 10.0 Hodnotiť:

Re: no hej Od: jankok | Pridané: 19.10.2018 14:10 Kluc vymenil az po tretej urgencii, ze to fakt nejde. Odpovedať Hodnotiť:

To už človek bude v zvieracej forme, ak dostane rozum Od: Okažmura Kamikadze | Pridané: 19.10.2018 8:53 Tri zámky, Kľučka namiesto gule a navyše nie je zamknuté. Odpovedať Hodnotiť:

Pridať komentár