Доменная зона DE на несколько часов была выведена из строя из-за DNSSEC

Произошёл массовый сбой в работе доменной зоны «DE», применяемой в Германии. Проблемы возникли из-за ошибки в настройке DNSSEC для корневой зоны «DE», совершённой организацией DENIC, отвечающей за домен первого уровня «DE». С 5 мая 22:30 по 6 мая 1:30 (MSK) попытка резолвинга доменов в зоне «DE» через DNS-серверы, применяющие DNSSEC для проверки достоверности данных, завершалась ошибкой. На DNS-серверах, применяющих DNSSEC, сбой наблюдался и при резолвинге доменов, напрямую не использующих DNSSEC.

Проблема затронула многие DNS-резолверы провайдеров и публичные DNS-сервисы, такие как 1.1.1.1 и 8.8.8.8. В качестве временной меры компания Cloudflare в своём DNS-сервисе 1.1.1.1 отключила проверку подлинности через DNSSEC для доменов в зоне «DE». Пользователи DNS-резолверов, на которых DNSSEC отключён, не пострадали.

Официально причины инцидента пока не объявлены. Предполагается, что проблема возникла из-за ошибки при обновлении цифровой подписи для зоны «DE», произведённом 5 мая в 20:49 (MSK). Применяемый для верификации домена первого уровня ключ является корнем доверия для остальных ключей, используемых в доменах второго уровня, и, в свою очередь, использует ключ домена «.» в качестве вышестоящего для подтверждения своего доверия.

В результате проведённой в доменной зоне «DE» операции криптографическая подпись (RRSIG — Resource Record Signature) для DNS-записи NSEC3 оказалась некорректной. Запись NSEC3 применяется для подтверждения подлинности DNS-ответов об отсутствии домена, чтобы исключить атаки по подстановке ответов NXDOMAIN для существующих доменов. В случае проблем с цифровой подписью для записи NSEC3 DNS-сервер не может удостовериться в подлинности хэшей с данными о существовании доменов и, соответственно, не может произвести проверку, считает ответ поддельным и на запросы о любом домене выдаёт ошибку.

ਸਰੋਤ: opennet.ru