Немският Domínios с разширение .de започна да става недостъпен от 21:50 на 5 май. Проблемът засегна всеки опит за разрешаване на адреси на зона .de чрез DNS сървъри, които валидират DNSSEC, предотвратявайки достъпа до сайтове като heise.de и Deutsche Bahn. Пропускът засегна потребителите в световен мащаб, независимо от избрания от тях DNS доставчик.
Основната причина е неправилен цифров подпис. Registros RRSIG, които съдържат цифрови подписи за потвърждаване на автентичността на DNS отговорите, са имали грешки при валидиране. Проблемът конкретно засегна SOA записа (Start на Authority) в зоната .de, който беше подписан невалидно, според анализ от диагностични инструменти като dig и dnsviz.
Валидирането на DNSSEC предизвика каскадно блокиране
Servidores DNS, който прилага стриктно DNSSEC валидиране, отхвърли всички заявки за .de домейни. Google (8.8.8.8), Cloudflare (1.1.1.1) и доставчиците на интернет услуги върнаха NXDOMAIN съобщение, което показва, че домейнът не съществува дори за легитимни и функционални уебсайтове. Trocar DNS сървър в конфигурацията на рутера или компютъра не разреши проблема, докато валидирането на DNSSEC остана активно.
Симптомите бяха незабавни:
- Trip Aplicativos се срива (като на Deutsche Bahn)
- Navegadores показва съобщения за грешка при опит за достъп до .de сайтове
- Имейл Clientes не може да разреши немски пощенски сървъри
- Impossibilidade връзка към всеки DNSSEC валидиран .de домейн
DENIC, организацията, отговорна за регистрацията и администрирането на .de домейни, публикува известие за „прекъсване на Parcial на Serviço“ на своя уебсайт за състоянието в 22:55. Horas по-късно ревизира описанието, заявявайки, че всички .de домейни с DNSSEC подпис са имали проблеми — въпреки че по-късни доклади показват, че домейни без DNSSEC също са засегнати.
Спешен Solução чрез невалидиращ DNS
Durante период на недостъпност, потребителите намериха заобиколно решение чрез конфигуриране на DNS сървъри, които не валидират DNSSEC. Опциите на Duas се откроиха:
- Level 3: адреси 4.2.2.1 и 4.2.2.6
- Quad9: адрес 9.9.9.10
Методът Este възстанови незабавния достъп до засегнатите .de домейни, тъй като заобиколи стриктното валидиране, което ги блокира. Contudo, решението изисква технически познания и достъп до мрежовите настройки на потребителя или рутера.
DENIC възстановява зона по време на зазоряване
Ранната сутрин на 6 май бележи възстановяването. DENIC поднови сигнатурата на .de зоната, позволявайки валидирането на DNSSEC отново да функционира правилно. Съобщението за разрешение пристигна в 3:42 сутринта, но конкретни подробности за грешката и нейното задействане останаха недостъпни по това време.
Cloudflare, от своя страна, временно деактивира DNS валидирането за .de домейни като защитна мярка, както Dane Knecht, техническият директор на компанията, съобщи чрез X платформата. Процедурата следва протокола, описан в RFC 7646, който установява стандарти за временно деактивиране на валидирането на DNSSEC.
Икономически и репутационен Impacto
Прекъсването засегна цифровата икономика на Германия в критични часове. Empresas на пътувания, електронна търговия, финансови услуги и комуникации се сблъска с пълна недостъпност без предварително известие. Usuários нямаше очевидно решение – мнозина не знаеха за съществуването на алтернативни DNS сървъри или връзката между DNSSEC и техните проблеми със свързаността. Redes предприятията трябваше да внедрят спешни промени в DNS конфигурациите, за да поддържат операциите.
Инцидентът разкри критична уязвимост: пълното разчитане на валидирането на DNSSEC може да се превърне в единична точка на повреда, когато конфигурациите на зоната имат грешки. Непровереният Domínios също претърпя съпътстващо въздействие, което предполага, че проблемът се е разпространил извън първоначалния обхват, описан от DENIC.
Пълното обяснение на Investigação за произхода на деформирания подпис все още продължаваше в дните след инцидента.