ProHoster > Blog > Internetnachrichten > Die DE-Domainzone war aufgrund von DNSSEC mehrere Stunden lang nicht erreichbar.

Die DE-Domainzone war aufgrund von DNSSEC mehrere Stunden lang nicht erreichbar.

In der deutschen Domainzone „DE“ kam es zu einem großflächigen Ausfall. Ursache war ein Fehler in der DNSSEC-Konfiguration der Root-Zone „DE“, verursacht von DENIC, der für die Top-Level-Domain „DE“ zuständigen Organisation. Vom 5. Mai, 22:30 Uhr, bis zum 6. Mai, 1:30 Uhr (Moskauer Zeit), schlugen Versuche, Domains in der Zone „DE“ über DNS-Server aufzulösen, die DNSSEC zur Überprüfung der Datengültigkeit nutzen, fehl. Auch auf DNS-Servern, die DNSSEC verwenden, trat der Fehler während der Namensauflösung auf. domenovdie DNSSEC nicht direkt nutzen.

Das Problem betraf viele DNS-Resolver von Internetdienstanbietern und öffentliche DNS-Dienste wie 1.1.1.1 und 8.8.8.8. Als vorübergehende Maßnahme deaktivierte Cloudflare die DNSSEC-Authentifizierung für Domains in der Zone „DE“ auf seinem DNS-Dienst 1.1.1.1. Nutzer von DNS-Resolvern, bei denen DNSSEC deaktiviert war, waren nicht betroffen.

Die Ursache des Vorfalls wurde noch nicht offiziell bekannt gegeben. Vermutlich entstand das Problem durch einen Fehler bei der Aktualisierung der digitalen Signatur für die Zone „DE“, der am 5. Mai um 20:49 Uhr (MSK) auftrat. Der Schlüssel zur Verifizierung der Top-Level-Domain dient als Vertrauensanker für alle anderen Schlüssel in Second-Level-Domains und verwendet seinerseits den Schlüssel der Domain „.“ als übergeordneten Schlüssel, um sein Vertrauen zu bestätigen.

Aufgrund einer Operation in der Domainzone „DE“ wurde festgestellt, dass die kryptografische Signatur (RRSIG – Resource Record Signature) des NSEC3-DNS-Eintrags ungültig ist. Der NSEC3-Eintrag dient der Überprüfung der Authentizität von DNS-Antworten zum Fehlen einer Domain und verhindert Angriffe, bei denen NXDOMAIN-Antworten durch Informationen zu bestehenden Domains ersetzt werden. Ist die digitale Signatur des NSEC3-Eintrags fehlerhaft, kann der DNS-Server die Authentizität der Hashes mit den Domain-Existenzdaten nicht überprüfen und die Antwort daher als gefälscht einstufen. In diesem Fall gibt er für Anfragen zu beliebigen Domains einen Fehler zurück.

Source: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz und VPS-VDS-Servern 🔥 Kaufen Sie zuverlässiges Webhosting mit DDoS-Schutz, VPS- und VDS-Server | ProHoster