В доменной зоне .ru произошёл сбой — у части пользователей перестали открываться сайты Статьи редакции
Причина — в поломке DNSSEC, над исправлением проблем уже работают.
Обновлено в 22:22.
Техническую проблему, вызвавшую недоступность сайтов в доменной зоне .ru, устранили, сообщили в Минцифры. Неполадки в работе DNS могут наблюдаться ещё некоторое время, пока обновлённые данные не «разойдутся» по системе доменных имен, отметило ведомство.
- Некоторые пользователи жалуются, что у них не открываются сайты, адрес которых заканчивается на .ru. В сервисе «Мониторинг сбоев» от Главного радиочастотного центра растут жалобы на работу сервисов — от «Яндекса» и Ozon до «Ростелекома» и других российских сайтов.
- При этом проблемы есть не у всех. Rozetked отмечает, что трудности испытывают абоненты «МегаФона», МТС и других провайдеров. У редактора vc.ru сайты работают у провайдера «Дом.ру», при мобильном интернете МТС — не открываются.
- «Билайн» и «Мегафон» заявили «Коду Дурова», что на своей стороне они проблемы не фиксируют. МТС на запрос о комментарии не ответили. В Tele2 сообщили «РИА Новости», что их сеть работает штатно по всей России.
- По данным Telegram-канала «Эшер II» Фила Кулина, проблема в работе DNS. Автор канала «ЗаТелеком» Михаил Климарев объясняет, что поломка связана с DNSSEC. Это набор расширений протокола DNS, который обеспечивает проверку подлинности сайтов. Об этом также пишут на «Хабре».
- Координационный центр доменов .ru/.рф сообщил, что возникла техническая проблема, затронувшая зону .ru, она связана с «глобальной инфраструктурой DNSSEC». Сейчас специалисты работают над её устранением, пишет «Фонтанка» со ссылкой на директора организации.
- Минцифры также подтвердили, что проблема связана с DNSSEC. Сейчас над проблемой работают, в ближайшее время доступ к сайтам восстановят, пообещало ведомство.
42K
показов
22K
открытий
1
репост
Кстати, забавно, что самый главный сайт не защищён
Это не забавно, а логично. Центры сертификации (CA - Certification Authorities), которым по-умолчанию доверяют популярные веб-браузеры и операционные системы находятся в основном в США. А в 2022 они прекратили выпуск сертификатов для доменов .gov.ru. В России тут же спохватились делать свой центр сертификации, но Chrome и Firefox не хотят ничего про него знать. Яндекс браузер может и знает, но им мало кто пользуется.
Жаль что не запретили выпуск сертификатов для всей доменной зоны .ru. От такого запрета, кстати, все бы выиграли, во всем мире, т.к. монополия это плохо. Появилось бы больше CAшек, а веб-браузерам пришлось бы их поддерживать иначе их бы стали обвинять в закрытости и поддержки монополии.
И правильно делают, потому что ваш УЦ изначально скомпрометирован.
а технически, как-нибудь эту скомпрометированность обосновать то можно? Вроде такая же технология, как в других. Мне кстати она не нравится, нужно что то другое придумать.
Смысл существования УЦ в защите ключей шифрования от тех кто хочет читать зашифрованный трафик. Но ваш УЦ и является тем от кого обычно этот трафик защищают.
В 2015 году компания, получившая от китайского государственного УЦ промежуточный сертификат, воспользовалась им для перехвата трафика пользователей Google, в том числе почты Gmail. И таким образом личная переписка журналистов попала к спецслужбам.
Ну вы привели банальную соц. инженерию, которая везде есть. Мы ведь генерим свой собственный промежуточный сертифткат, соответственно, если мы его неправильно будем хранить он попадёт в руки злоумышленника. Но почему вы считаете это:
потому что ваш УЦ изначально скомпрометирован.интересует именно техническая сторона вопроса
Если фейковый сертификат выдает одна из западных контор, это обнаруживается, и браузеры выпиливают как скомпрометированные все сертфикаты от этого УЦ. Но сертификаты от вашего минцифровского УЦ проверять и выпиливать некому, потому что его никто не может проверить, а его корневой сертификат уже у тебя на компе.
Каким образом?
Я могу для своего веб-сайта сгенерить сертификат и через GlobalSign и через Let's Encrypt одновременно. Веб-браузерам все-равно.
Таким образом, жертве достаточно подменить IP известного ресурса, например vc.ru, и направить его на клон vc.ru, в веб-браузере будет все ок.
Специалистами по безопасности и антивирусными компаниями, которые это постоянно мониторят. Вот просто первая ссылка в гугле https://habr.com/ru/articles/398161/
Там кстати описаны проблемы безопасности, которые также были найдены у тех сертификатов. И вот на этом месте возникает еще один вопрос, если мудачье настолько "компетентно", что смогло уронить всю зону РУ, то где гарантия, что у них там нет 100500 дыр в системе и никакой левый чел не сможет получить сертификат от Госуслуг, например. Кто может это проверить, провести аудит? Никто.
Или вот еще, казахи. https://www.opennet.ru/opennews/art.shtml?num=51329
В то же время были зафиксированы попытки применения данного сертификата на практике для подмены трафика к Google, Facebook, Одноклассники, Вконтакте, Twitter, YouTube и других ресурсов. При установке TLS-соединения реальный сертификат целевого сайта подменялся сгенерированным на лету новым сертификатом, который помечался браузером как достоверный, если "национальный сертификат безопасности" был добавлен пользователем в хранилище корневых сертификатов, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности".Как так вышло, не знаете??
Навязанный сертификат, от которого невозможно отказаться, нарушает схему проверки удостоверяющих центров, так как сгенерировавший данный сертификат орган не проходил аудит безопасности, не соглашался с требованиями к удостоверяющим центрам и не обязан следовать установленным правилам, т.е. может выдать сертификат для любого сайта любому пользователю под любым предлогом.Ваш минцифровский УЦ чей аудит проходил и каким правилам подчиняется и кто контролирует, что он не будет нарушать эти правила? Он сам?)
Не успеют, такие атаки делаются одномоментно.
История по первой ссылке в Гугле интересная. Но такое могло произойти и с американским CA и наверняка происходило и даже по хуже. Мы только знаем, о том, что стало известно не более.
Промежуточный сертификат все равно не у CA, а у меня, и даже если есть коррумпированных чиновники и "товарищи майоры", они ведь никак не смогут его достать, без соц. инженерии и взлома. И не смогут слушать трафик, без явной подмены IP на уровне провайдера.
Я за то, чтобы люди вообще использовали какой то другой способ, проверку подлинности можно организовать без сертификатов. CA эти не нужны. Есть блокчейн технологии, которые обеспечивают валидность транзакций, можно и для проверки веб-сайтов использовать похожие методы.
И для проведения выборов :)
Какую инженерию, государство дало сертификат чувакам, чтобы те слили данные спецслужбам, это не была кража сертификата у журналистов или у гугла, а сделано было намеренно.
Суть-то в том, что у тебя в устройстве будет корневой сертификат от скомпрометированного УЦ и он признает подлинным абсолютно любой сертификат, который это УЦ выдаст. Теперь представим, что по китайской схеме УЦ выдает фейковый сертификат очередной конторе, которая по заказу гос-ва мониторит трафик...