Новозеландский регистратор InternetNZ, отвечающих за доменную зону ".NZ", предупредил об инциденте, в результате которого возникли массовые сбои в разрешении доменных имён в зоне ".nz" и 15 связанных вторичных зонах, таких как "co.nz" и "net.nz". Причиной сбоя стала ошибка, допущенная при ротации KSK-ключей (Key Signing Key), применяемых для цифровой подписи записей DNSKEY, содержащих ключи для подписи доменной зоны (ZSK, Zone Signing Key). После инцидента на DNS-серверах, применяющих DNSSEC для проверки достоверности данных, перестали определяться все домены в зоне ".nz" (попытка определения приводит к возвращению сервером ошибки SERVFAIL).
Регистратор доменной зоны ".nz" внедрил DNSSEC более десяти лет назад и с тех пор ежегодная ротация ключей превратилась в рутину. В этом году ротация была выполнена в привычном режиме, но администраторы не учли, что в конце прошлого года была внедрена новая информационная система регистратора, в которой формат ключей немного отличался от прошлой и данное отличие не было выявлено во время тестирования и интеграции новой платформы. Администраторы не учли наличие отличий и предварительно не протестировали процесс ротации в новых условиях, что привело к тому, что при определении имён на DNS-серверах перестала проходить проверка цифровых подписей с использованием KSK-ключа корневой зоны.
Проблема усугубляется тем, что ошибочные записи с ключами осели в кешах DNS-серверов и для оперативного возобновления нормальной работы администраторам рекурсивных серверов требуется вручную очистить кэш (обычно достаточно перезапустить DNS-сервер). В противном случае для возобновления определения доменов ".nz" необходимо ждать завершения срока действия записей DNSSEC, время жизни которых для зоны ".nz" выставлено в 48 часов (инцидент произошёл вечером 29 мая, поэтому для истечения времени жизни записи придётся ждать более суток).