Uno de los 13 servidores DNS root (c.root-servers.net), encargado de garantizar el funcionamiento de la zona root DNS, no estuvo sincronizado con el resto de los servidores DNS durante cuatro días. Desde el 18 al 22 de mayo, el servidor DNS root “C” (192.33.4.12), respaldado por 12 servidores ubicados en diferentes países, no reflejó cambios en la zona root, ofreciendo datos obsoletos y sin sincronización con la infraestructura DNS root.
Este servidor es crucial para la cadena de resolución de nombres de dominio, proporcionando información sobre los servidores DNS que gestionan dominios de primer nivel y las claves para su verificación mediante DNSSEC.
Durante este período no se realizaron cambios en la zona root, pero se había planificado una actualización de la firma digital DNSSEC para el dominio de nivel superior “.gov”. Esta actualización formaba parte de la transición a claves criptográficas basadas en el algoritmo ECDSA.
Para validar la zona “.gov” en DNSSEC, se utilizaban los algoritmos 8 (RSA/SHA-256) y 13 (ECDSA P-256/SHA-256). Estaba previsto agregar el registro DS para el algoritmo 13 en la zona root y luego eliminar el registro DS del algoritmo 8. Un reemplazo similar estaba planificado para el dominio “.int”. Sin embargo, debido a los problemas con el servidor root “C”, los registros DS para el algoritmo 13 no se publicaron, y el proceso de reemplazo de claves se suspendió.
El funcionamiento del servidor DNS root “C” está garantizado por Cogent Communications, un proveedor de nivel 1 representado en 53 países, bajo acuerdos con la corporación ICANN. Unos días antes del incidente, se presentaron problemas de acceso desde la red de Cogent Communications a 1,575 sistemas autónomos, debido a la terminación del peering con el proveedor indio Tata Communications.
La causa de la desincronización fue una falla en el sistema de monitoreo responsable de rastrear los cambios, originada tras un cambio de ruta no relacionado con los servidores DNS (aún no se ha detallado la causa exacta).
Aparte de la desincronización, no se registraron violaciones en el procesamiento de solicitudes al servidor DNS raíz “C”. La sincronización se restableció por completo el 22 de mayo a las 19:00 (MSK). Entre los posibles problemas de una desincronización prolongada se incluye la provisión de datos desactualizados sobre las claves usadas en DNSSEC y las direcciones de los servidores DNS que gestionan dominios de primer nivel.
Discover more from Ready4Linux
Subscribe to get the latest posts to your email.