Một sự cố mất kết nối diện rộng đã xảy ra trong vùng tên miền "DE" được sử dụng tại Đức. Vấn đề phát sinh do lỗi trong cấu hình DNSSEC cho vùng gốc "DE", do DENIC, tổ chức chịu trách nhiệm về tên miền cấp cao nhất "DE", gây ra. Từ 22:30 ngày 5 tháng 5 đến 01:30 ngày 6 tháng 5 (giờ Moscow), các nỗ lực phân giải tên miền trong vùng "DE" thông qua các máy chủ DNS sử dụng DNSSEC để xác minh tính hợp lệ của dữ liệu đã thất bại. Trên các máy chủ DNS đã bật DNSSEC, lỗi cũng xảy ra trong quá trình phân giải. các miền, những hệ thống không trực tiếp sử dụng DNSSEC.
Sự cố này ảnh hưởng đến nhiều máy chủ phân giải DNS của nhà cung cấp dịch vụ Internet (ISP) và các dịch vụ DNS công cộng, chẳng hạn như 1.1.1.1 và 8.8.8.8. Để khắc phục tạm thời, Cloudflare đã vô hiệu hóa xác thực DNSSEC cho các tên miền trong vùng "DE" trên dịch vụ DNS 1.1.1.1 của mình. Người dùng các máy chủ phân giải DNS đã vô hiệu hóa DNSSEC không bị ảnh hưởng.
Nguyên nhân của sự cố vẫn chưa được công bố chính thức. Người ta tin rằng vấn đề phát sinh từ lỗi trong quá trình cập nhật chữ ký số cho vùng "DE", xảy ra vào lúc 20:49 ngày 5 tháng 5 (giờ MSK). Khóa được sử dụng để xác minh tên miền cấp cao nhất là gốc tin cậy cho tất cả các khóa khác được sử dụng trong các tên miền cấp hai, và ngược lại, sử dụng khóa tên miền "." làm khóa cấp cao hơn để xác nhận độ tin cậy của nó.
Do một thao tác được thực hiện trong vùng tên miền "DE", chữ ký mật mã (RRSIG — Resource Record Signature) cho bản ghi DNS NSEC3 được phát hiện là không hợp lệ. Bản ghi NSEC3 được sử dụng để xác minh tính xác thực của các phản hồi DNS về việc không tồn tại một tên miền, ngăn chặn các cuộc tấn công liên quan đến việc thay thế các phản hồi NXDOMAIN cho các tên miền hiện có. Nếu chữ ký số cho bản ghi NSEC3 không chính xác, máy chủ DNS không thể xác minh tính xác thực của các hàm băm chứa dữ liệu về sự tồn tại của tên miền và do đó không thể thực hiện xác minh, coi phản hồi là giả mạo và trả về lỗi cho các truy vấn về bất kỳ tên miền nào.
Nguồn: opennet.ru
