A német Domínios .de kiterjesztéssel május 5-én este 21:50-től elérhetetlenné vált. A probléma minden olyan kísérletet érintett, amely a .de zónacímek DNSSEC-ellenőrző DNS-kiszolgálókon keresztül történő feloldására tett kísérletet, megakadályozva a hozzáférést az olyan webhelyekhez, mint a heise.de és az Deutsche Bahn. A hiba világszerte érintette a felhasználókat, függetlenül a választott DNS-szolgáltatótól.
A kiváltó ok egy hibás digitális aláírás volt. Az Registros RRSIG, amelyek digitális aláírásokat tartalmaznak a DNS-válaszok hitelességének megerősítésére, érvényesítési hibákat mutattak. A probléma kifejezetten a .de zónában lévő SOA rekordot (Start az Authority) érintette, amely érvénytelen volt a diagnosztikai eszközök, például a dig és a dnsviz elemzése szerint.
A DNSSEC érvényesítése lépcsőzetes blokkolást okozott
A szigorú DNSSEC-ellenőrzést megvalósító Servidores DNS elutasított minden .de tartományra vonatkozó lekérdezést. Az Google (8.8.8.8), Cloudflare (1.1.1.1) és az internetszolgáltatók NXDOMAIN üzenetet küldtek vissza, amely azt jelzi, hogy a domain még a legális és működőképes webhelyek esetében sem létezik. Az útválasztóban vagy a számítógép konfigurációjában lévő Trocar DNS-kiszolgáló nem oldotta meg a problémát, miközben a DNSSEC ellenőrzés aktív maradt.
A tünetek azonnal jelentkeztek:
- Az út Aplicativos összeomlik (mint az Deutsche Bahn)
- Navegadores hibaüzeneteket jelenít meg, amikor megpróbál hozzáférni a .de webhelyekhez
- Az Clientes e-mail nem tudja feloldani a német levelezőszervereket
- Impossibilidade kapcsolat bármely DNSSEC által ellenőrzött .de tartományhoz
A DENIC, a .de domainek regisztrációjáért és adminisztrációjáért felelős szervezet 22:55-kor közleményt tett közzé az „Parcial megszakításáról az Serviço” állapotában. Az Horas később felülvizsgálta a leírást, és kijelentette, hogy minden DNSSEC-aláírással rendelkező .de tartományban problémák merültek fel – bár a későbbi jelentések azt mutatták, hogy a DNSSEC nélküli tartományok is érintettek.
Vészhelyzeti Solução nem érvényesítő DNS-en keresztül
Az Durante elérhetetlenségi időszaka miatt a felhasználók megoldást találtak a DNSSEC ellenőrzését nem végző DNS-kiszolgálók konfigurálásával. Az Duas opciók kiemelkedtek:
- Level 3: 4.2.2.1 és 4.2.2.6 címek
- Quad9: cím 9.9.9.10
Az Este metódus azonnali hozzáférést állított vissza az érintett .de tartományokhoz, mivel megkerülte az őket blokkoló szigorú ellenőrzést. Az Contudo, a megoldás műszaki ismereteket és hozzáférést igényelt a felhasználó hálózati beállításaihoz vagy útválasztójához.
DENIC helyreállítja a területet hajnalban
Május 6-án kora reggel a felépülés jellemezte. A DENIC megújította a .de zóna aláírását, lehetővé téve, hogy a DNSSEC ellenőrzés ismét megfelelően működjön. A határozati javaslat hajnali 3:42-kor érkezett meg, de a hibáról és annak kiváltójáról akkor még nem lehetett tudni konkrét részleteket.
Az Cloudflare pedig védelmi intézkedésként ideiglenesen letiltotta a DNS-ellenőrzést a .de tartományok esetében, mivel az Dane Knecht, a cég műszaki igazgatója az X platformon keresztül kommunikált. Az eljárás az RFC 7646-ban leírt protokollt követi, amely szabványokat állapít meg a DNSSEC-ellenőrzés ideiglenes deaktiválására.
Gazdasági és jó hírnév Impacto
A leállás a kritikus órákban sújtotta Németország digitális gazdaságát. Az utazás, az e-kereskedelem, a pénzügyi szolgáltatások és a kommunikáció Empresas-je előzetes értesítés nélkül teljes elérhetetlenné vált. Az Usuários-nek nem volt egyértelmű megoldása – sokan nem voltak tudatában sem az alternatív DNS-kiszolgálók létezésének, sem a DNSSEC és azok kapcsolódási problémái közötti kapcsolatnak. Az Redes-vállalatoknak vészhelyzeti módosításokat kellett végrehajtaniuk a DNS-konfigurációkban a műveletek fenntartása érdekében.
Az incidens egy kritikus sérülékenységet tárt fel: a DNSSEC-ellenőrzésre való abszolút bizalom egyetlen hibaponttá válhat, ha a zónakonfiguráció hibás. Az érvényesítetlen Domínios járulékos hatást is szenvedett, ami arra utal, hogy a probléma túlterjedt a DENIC által leírt kezdeti hatókörön.
Az Investigação teljes magyarázata a hibás aláírás eredetére még az eset utáni napokban is folyamatban volt.