Роскомнадзор стал одним из символов государственной цензуры в России
Фото: Konstantin Kokoshkin/Global Look Press
Моя подруга в Москве не смогла заказать такси из аэропорта, знакомый не смог зайти на Госуслуги, а я сама не могла зайти на сайт Republic. 30 января в России сломался интернет. Причем сломался так, что на российские сайты было невозможно зайти и из-за границы. «Что — всё? После выборов нам отключат интернет?», — вот вопрос, который вчера мне задавали все знакомые. Попробуем разобраться.
Не буду держать интригу и сразу успокою: по словам нашего источника, имеющего отношение к функционированию российского интернета, его в стране не отключат — ни вообще, ни от остального мира. Но неприятные ограничения, увы, будут. А теперь по порядку.
Смена ключей на серверах не играет никакой роли. DNS(SEC) применяется для того,
чтобы ISP не мог следить, куда вы заходите. В интернете применяются циклические
коды при обмене между любыми участниками. Циклическое кодирование устроено
так, что информация кодируется одним полиномом, а раскодируется другим . Причем,
по первому определить второй невозможно. Отсюда при взаимодействии двух
абонентов сети каждый посылает другому полином для кодирования передачи
самому себе. А ключи каждый может менять хоть ежедневно, что и делают не вполне
осведомленные...
А говорят там просто был "сисадмин, кривые руки"... SECDNS это шифрованый DNS. Чем-то похоже на https и http. Ему для работы нужны правильные шифровальные ключи. Их положено регулярно менять. Если сделать ошибку при замене ключей, результат будет аналогичный - ответы DNS будут признаны недействительными, или их невозможно будет прочитать. Так что проведение специальных работ для получения такого эффекта не обязательно.
.
Это вовсе не означает что такие работы не ведутся. Но это уже другая история
Замена ключей - операция ответственная, её по регламенту проводят два-три человека с тщательным контролем друг друга. Да и длительность починки говорит не о простой опечатке при вводе.
<<Замена ключей - операция ответственная, её по регламенту проводят два-три человека с тщательным контролем друг друга>>
.
Мне кажется правильнее было бы "по регламенту должны проводить". Хотя, а откуда Вы знаете, что там у них в регламенте? Про исполнение всяческих инструкций я вообще молчу - вон у Боинга дверь отвалилась... Чай тоже по инструкции не должна была.
.
Именно из-за этого в технике безопасности на производстве инструкции инструкции стоят где-то ближе к концу списка. По идее для смены ключей должны бы быть скрипты написаны. Но, во-первых, операция не частая, могли и полениться. Во-вторых, скрипты тоже проверять нужно. Ну и в третьих, про текучку сотрудников забывать не стоит.
.
Повторюсь, это не означает что работы по изоляции не ведутся. Просто возможно в данный момент причина гораздо проще
Длительность, скорее всего, была связана с большой инерционностью системы ДНС, с тем самым кэшем, который есть на каждом уровне.
.
Если у корня бед проблемы были решены быстро, то чем дальше от него — тем больше времени на обновление всех транзитных кэшей требуется.
.
Более того, отрицательные ответы тоже кэшируются, то есть если DNSSEC проверка была неуспешной — то сам кэш этот факт на время запоминает, и всем клиентам сразу выдает ошибку, даже не запрашивая оригинальный сервер.
И так на каждом уровне.