Прошлой ночью в немецком доменном имени верхнего уровня (ccTLD) произошел крупномасштабный и долгосрочный сбой. Этот сбой, похоже, не является сбоем корневого сервера доменных имен доменного имени DE, а является ошибкой в сигнатуре системы шифрования DNSSEC, используемой доменным именем. Из-за ошибки в самой подписи было парализовано всё пространство доменных имен DE.
После анализа специалисты обнаружили, что это была низкоуровневая ошибка конфигурации со стороны DENIC (агентства, ответственного за управление доменным именем). Причина заключалась в том, что DENIC выдал неверную подпись при повороте ключа ZSK. ZSK относится к ключу пространственной подписи, который используется для шифрования DNSSEC.
Из-за публикации неверных подписей все рекурсивные анализаторы, включающие проверку шифрования DNSSEC, возвращают ошибки SERVFAIL, что приводит к невозможности нормального анализа большого количества доменных имен .de. Например, сайт электронной коммерции Amazon.de в Германии не может нормально загрузиться.
После обнаружения аномалии компания Cloudflare, которая управляет общедоступным DNS-сервером 1.1.1.1, немедленно отключила проверку DNSSEC для доменного имени DE, поэтому использовались версии 1.1.1.1 и 1.0.0.1. Пользователи особо не страдают, но пользователи, использующие другие общедоступные DNS-серверы, могут столкнуться с ошибками долгосрочной недоступности.
Но подход Cloudflare также вызывает вопросы о том, будет ли это аварийное отключение проверки также целью в случае атаки (то есть использовать атаку для отвлечения внимания, а затем позволить основным поставщикам общедоступных DNS-серверов отключить DNSSEC, чтобы хакеры могли провести другие атаки).
DNSSEC изначально представлял собой уровень цифровой подписи, добавленный для предотвращения подмены DNS. Простая ошибка конфигурации может привести к отключению доменного имени DE. Поэтому некоторые представители отрасли сетуют на то, что возможность аварийного переключения Интернета здесь не работает. DNSSEC повышает безопасность, а также повышает хрупкость.
Кроме того, DENIC, ответственный за эту проблему, также опубликовал объявление, признающее, что все доменные имена DE с включенной подписью DNSSEC затронуты с точки зрения доступности. В DENIC заявили, что основная причина сбоя еще не полностью определена, и техническая команда прилагает все усилия, чтобы проанализировать и как можно скорее восстановить стабильную работу.
Примечание. На момент публикации этой статьи доступ к доменным именам DE, зашифрованным DNSSEC, постепенно восстанавливался. Однако, поскольку разные доменные имена имеют разное время выживания TTL, некоторым доменным именам может потребоваться дождаться обновления глобального DNS, прежде чем к ним можно будет получить доступ.