Alman DNS hatası, .de alan adlarını dünya çapında erişilemez hale getiriyor
.de uzantılı Alman Domínios, 5 Mayıs saat 21.50’den itibaren erişime kapatılmaya başlandı. Sorun, .de bölge adreslerini DNSSEC’yi doğrulayan DNS sunucuları aracılığıyla çözümleme girişimlerini etkileyerek heise.de ve Deutsche Bahn gibi sitelere erişimi engelledi. Kusur, seçtikleri DNS sağlayıcısından bağımsız olarak kullanıcıları küresel olarak etkiledi.
Temel neden hatalı biçimlendirilmiş bir dijital imzaydı. DNS yanıtlarının orijinalliğini doğrulamak için dijital imzalar içeren Registros RRSIG’de doğrulama hataları vardı. Dig ve dnsviz gibi tanılama araçlarıyla yapılan analizlere göre sorun özellikle .de bölgesindeki SOA kaydını (Authority’nin Start’si) etkiledi ve bu kayıt geçersiz şekilde imzalandı.
DNSSEC’nin doğrulanması basamaklı engellemeye neden oldu
Katı DNSSEC doğrulaması uygulayan Servidores DNS, .de alan adlarına yönelik tüm sorguları reddetti. Google (8.8.8.8), Cloudflare (1.1.1.1) ve internet servis sağlayıcıları, meşru ve işlevsel web siteleri için bile alanın mevcut olmadığını belirten NXDOMAIN mesajı döndürdü. Yönlendiricideki veya bilgisayar yapılandırmasındaki Trocar DNS sunucusu, DNSSEC doğrulaması etkin kaldığı sürece sorunu çözmedi.
Belirtiler hemen ortaya çıktı:
- Trip Aplicativos kilitleniyor (Deutsche Bahn’ler gibi)
- Navegadores, .de sitelerine erişmeye çalışırken hata mesajları görüntülüyor
- E-posta Clientes Alman posta sunucularını çözemiyor
- Herhangi bir DNSSEC onaylı .de etki alanına Impossibilidade bağlantısı
.de alan adlarının kaydı ve yönetiminden sorumlu kuruluş DENIC, saat 22:55’te durum web sitesinde “Parcial Serviço kesintisi” bildirimini yayınladı. Horas daha sonra açıklamayı revize ederek DNSSEC imzasına sahip tüm .de alan adlarında sorun yaşandığını belirtti; ancak daha sonraki raporlar, DNSSEC olmayan alan adlarının da etkilendiğini belirtti.
Doğrulanmayan DNS aracılığıyla acil durum Solução
Durante’nin kullanılamadığı dönemde kullanıcılar, DNSSEC’yi doğrulamayan DNS sunucularını yapılandırarak bir geçici çözüm buldular. Duas seçenekleri öne çıktı:
- Level 3: 4.2.2.1 ve 4.2.2.6 adresleri
- Quad9: adres 9.9.9.10
Este yöntemi, etkilenen .de alan adlarını engelleyen katı doğrulamayı atladığı için bu alanlara anında erişimi geri getirdi. Contudo, çözüm teknik bilgi ve kullanıcının ağ ayarlarına veya yönlendiricisine erişim gerektiriyordu.
Leia Também
George Russell, Formula 1 Avusturya Grand Prix’sinin kaotik sıralama turlarında pole pozisyonunu garantiledi
Hırvatistan x Gana: bugünkü FIFA Dünya Kupası maçının canlı, saati ve kadroları nereden izlenir?
Panama x İngiltere: bugünkü FIFA Dünya Kupası maçının canlı, saati ve kadroları nereden izlenir?
DENIC şafak vakti bölgeyi kurtardı
6 Mayıs sabahının erken saatleri iyileşmeye işaret ediyordu. DENIC, .de bölgesinin imzasını yenileyerek DNSSEC doğrulamasının yeniden düzgün çalışmasına olanak tanıdı. Çözüm duyurusu sabaha karşı 03:42’de geldi ancak hata ve tetikleyicisi hakkındaki spesifik ayrıntılar o sırada mevcut değildi.
Şirketin CTO’su Dane Knecht, X platformu aracılığıyla iletişim kurduğundan Cloudflare, koruyucu bir önlem olarak .de alanları için DNS doğrulamasını geçici olarak devre dışı bıraktı. Prosedür, DNSSEC doğrulamasının geçici olarak devre dışı bırakılmasına ilişkin standartları belirleyen RFC 7646’da açıklanan protokolü takip eder.
Ekonomik ve saygın Impacto
Kesinti, kritik saatlerde Almanya’nın dijital ekonomisini etkiledi. Seyahat, e-ticaret, finansal hizmetler ve iletişim alanındaki Empresas, önceden bildirimde bulunmaksızın tamamen kullanılamama durumuyla karşı karşıya kaldı. Usuários’nin belirgin bir çözümü yoktu; birçoğu alternatif DNS sunucularının varlığından veya DNSSEC ile bağlantı sorunları arasındaki ilişkiden habersizdi. Redes kuruluşları, operasyonları sürdürmek için DNS yapılandırmalarında acil durum değişiklikleri uygulamak zorunda kaldı.
Olay, kritik bir güvenlik açığını açığa çıkardı: DNSSEC doğrulamasına mutlak güven, bölge yapılandırmalarında hatalar olduğunda tek bir başarısızlık noktası haline gelebilir. Doğrulanmamış Domínios’nin de ikincil etkisi oldu; bu da sorunun DENIC tarafından açıklanan başlangıç kapsamının ötesine yayıldığını gösteriyor.
Investigação’nin hatalı biçimlendirilmiş imzanın kaynağına ilişkin tam açıklaması olaydan sonraki günlerde hâlâ devam ediyordu.
