V doménové zóně „DE“ používané v Německu došlo k rozsáhlému výpadku. Problémy vznikly kvůli chybě v konfiguraci DNSSEC pro kořenovou zónu „DE“, kterou způsobila organizace DENIC, zodpovědná za doménu nejvyšší úrovně „DE“. Od 5. května 22:30 do 6. května 1:30 (moskevského času) selhaly pokusy o překlad domén v zóně „DE“ prostřednictvím DNS serverů, které používají DNSSEC k ověření platnosti dat. Na DNS serverech s povoleným DNSSEC k selhání docházelo i během překladu. доменов, které přímo nepoužívají DNSSEC.
Problém ovlivnil mnoho DNS resolverů poskytovatelů internetových služeb a veřejných DNS služeb, například 1.1.1.1 a 8.8.8.8. Jako dočasné opatření Cloudflare zakázal ověřování DNSSEC pro domény v zóně „DE“ ve své DNS službě 1.1.1.1. Uživatelé DNS resolverů s vypnutým DNSSEC nebyli ovlivněni.
Příčina incidentu dosud nebyla oficiálně oznámena. Předpokládá se, že problém vznikl chybou v aktualizaci digitálního podpisu pro zónu „DE“, ke které došlo 5. května v 20:49 (MSK). Klíč použitý k ověření domény nejvyšší úrovně je kořenem důvěryhodnosti pro všechny ostatní klíče používané v doménách druhé úrovně a následně používá klíč domény „.“ jako nadřazený klíč k potvrzení své důvěryhodnosti.
V důsledku operace provedené v doménové zóně „DE“ byl kryptografický podpis (RRSIG — Resource Record Signature) pro DNS záznam NSEC3 shledán neplatným. Záznam NSEC3 se používá k ověření pravosti DNS odpovědí o absenci domény, čímž se zabraňuje útokům, které zahrnují nahrazování existujících domén odpověďmi NXDOMAIN. Pokud je digitální podpis záznamu NSEC3 nesprávný, DNS server nemůže ověřit pravost hashů obsahujících data o existenci domény, a proto nemůže provést ověření, považuje odpověď za padělanou a vrací chybu u dotazů týkajících se jakékoli domény.
Zdroj: opennet.ru
