O nome de domínio de primeiro nível (ccTLD) de nível nacional alemão sofreu uma interrupção em grande escala e de longo prazo na noite passada. Esta interrupção não parece ser uma falha do servidor de nomes de domínio raiz do nome de domínio DE, mas um erro na assinatura do sistema de criptografia DNSSEC usado pelo nome de domínio. Devido ao erro na própria assinatura, todo o espaço de nomes de domínio DE ficou paralisado.
Após análise, os profissionais descobriram que se tratava de um erro de configuração de baixo nível do DENIC (órgão responsável pelo gerenciamento do nome de domínio). O motivo foi que o DENIC emitiu uma assinatura malformada ao girar a chave ZSK. ZSK refere-se à chave de assinatura espacial, que é usada para criptografia DNSSEC.
Devido à publicação de assinaturas malformadas, todos os analisadores recursivos que permitem a verificação de criptografia DNSSEC retornarão erros SERVFAIL, o que resulta na impossibilidade de análise normal de um grande número de nomes de domínio .de. Por exemplo, o site de comércio eletrônico Amazon.de na Alemanha não pode ser carregado normalmente.
Após detectar a anomalia, Cloudflare, que opera o servidor DNS público 1.1.1.1, desligou imediatamente a validação DNSSEC para o nome de domínio DE, então 1.1.1.1 e 1.0.0.1 foram usados Usuários de não são particularmente afetados, mas os usuários que usam outros servidores DNS públicos podem enfrentar erros de inacessibilidade de longo prazo.
Mas a abordagem da Cloudflare também levanta questões sobre se esse desligamento emergencial da verificação também será um alvo se houver um ataque (ou seja, usar o ataque para desviar a atenção e, em seguida, permitir que os principais provedores de servidores DNS públicos desliguem o DNSSEC, para que os hackers possam realizar outros sequestros).
DNSSEC era originalmente uma camada de assinatura digital adicionada para evitar falsificação de DNS. Um simples erro de configuração pode colocar o nome de domínio DE off-line diretamente. Portanto, algumas pessoas na indústria lamentam que a capacidade de failover da Internet falhe aqui. O DNSSEC melhora a segurança e também aumenta a fragilidade.
Além disso, a DENIC, responsável por esta questão, também emitiu um comunicado reconhecendo que todos os nomes de domínio DE com assinatura DNSSEC habilitada são afetados em termos de acessibilidade. O DENIC afirmou que a causa raiz da interrupção ainda não foi totalmente determinada e a equipe técnica está trabalhando arduamente para analisar e restaurar a operação estável o mais rápido possível.
Nota: A partir da publicação deste artigo, o acesso aos nomes de domínio DE criptografados por DNSSEC foi gradualmente restaurado. No entanto, como nomes de domínio diferentes têm tempos de sobrevivência TTL diferentes, alguns nomes de domínio podem precisar aguardar a atualização do DNS global antes de poderem ser acessados.