Tysk DNS-fejl gør .de-domæner utilgængelige på verdensplan
Tyske Domínios med .de-udvidelse begyndte at blive utilgængelige fra kl. 21:50 den 5. maj. Problemet påvirkede ethvert forsøg på at løse .de-zoneadresser gennem DNS-servere, der validerer DNSSEC, hvilket forhindrer adgang til websteder som heise.de og Deutsche Bahn. Fejlen påvirkede brugere globalt, uanset deres valgte DNS-udbyder.
Grundårsagen var en forkert udformet digital signatur. Registros RRSIG, der indeholder digitale signaturer for at bekræfte ægtheden af DNS-svar, havde valideringsfejl. Problemet påvirkede specifikt SOA-posten (Start af Authority) i .de-zonen, som blev underskrevet ugyldigt ifølge analyse af diagnostiske værktøjer såsom dig og dnsviz.
Validering af DNSSEC forårsagede kaskadeblokering
Servidores DNS, der implementerer streng DNSSEC-validering, afviste alle forespørgsler til .de-domæner. Google (8.8.8.8), Cloudflare (1.1.1.1) og internetudbydere returnerede NXDOMAIN-meddelelse, der angiver, at domænet ikke eksisterer, selv for lovlige og funktionelle websteder. Trocar DNS-server i routeren eller computerkonfigurationen løste ikke problemet, mens DNSSEC-validering forblev aktiv.
Symptomerne var øjeblikkelige:
- Trip Aplicativos går ned (som Deutsche Bahn’er)
- Navegadores viser fejlmeddelelser, når du forsøger at få adgang til .de-websteder
- E-mail Clientes kan ikke løse tyske mailservere
- Impossibilidade-forbindelse til ethvert DNSSEC-valideret .de-domæne
DENIC, den enhed, der er ansvarlig for registrering og administration af .de-domæner, offentliggjorde en meddelelse om “Parcial-afbrydelse af Serviço” på sit statuswebsted kl. 22:55. Horas reviderede senere beskrivelsen og sagde, at alle .de-domæner med en DNSSEC-signatur oplevede problemer – selvom senere rapporter indikerede, at domæner uden DNSSEC også var påvirket.
Nød Solução gennem ikke-validerende DNS
Durante periode med utilgængelighed, fandt brugerne en løsning ved at konfigurere DNS-servere, der ikke validerer DNSSEC. Duas-muligheder skilte sig ud:
- Level 3: adresser 4.2.2.1 og 4.2.2.6
- Quad9: adresse 9.9.9.10
Este-metoden genoprettede øjeblikkelig adgang til berørte .de-domæner, da den omgik den strenge validering, der blokerede dem. Contudo, løsningen krævede teknisk viden og adgang til brugerens netværksindstillinger eller router.
Leia Também
George Russell sikrer sig pole position i den kaotiske kvalifikation til det østrigske Formel 1 Grand Prix
Kroatien x Ghana: hvor kan man se live, tid og opstillinger til dagens FIFA World Cup-kamp
Panama x England: hvor kan man se live, tid og opstillinger til dagens FIFA World Cup-kamp
DENIC genvinder området ved daggry
Den tidlige morgen den 6. maj markerede opsvinget. DENIC fornyede signaturen for .de-zonen, hvilket gjorde det muligt for DNSSEC-validering at fungere korrekt igen. Meddelelsen om opløsning ankom kl. 03:42, men specifikke detaljer om fejlen og dens udløser forblev utilgængelige på det tidspunkt.
Cloudflare deaktiverede til gengæld midlertidigt DNS-validering for .de-domæner som en beskyttende foranstaltning, da Dane Knecht, virksomhedens CTO, kommunikerede gennem X-platformen. Proceduren følger protokollen beskrevet i RFC 7646, som etablerer standarder for midlertidig deaktivering af DNSSEC-validering.
Økonomisk og omdømme Impacto
Afbrydelsen ramte Tysklands digitale økonomi i kritiske timer. Empresas af rejser, e-handel, finansielle tjenester og kommunikation stod over for fuldstændig utilgængelighed uden forudgående varsel. Usuários havde ingen åbenlys løsning – mange var uvidende om eksistensen af alternative DNS-servere eller forholdet mellem DNSSEC og deres forbindelsesproblemer. Redes-virksomheder var nødt til at implementere nødændringer til DNS-konfigurationer for at opretholde driften.
Hændelsen afslørede en kritisk sårbarhed: Absolut afhængighed af DNSSEC-validering kan blive et enkelt fejlpunkt, når zonekonfigurationer har fejl. Uvalideret Domínios fik også en sikkerhedsmæssig indvirkning, hvilket tyder på, at problemet har spredt sig ud over det oprindelige omfang beskrevet af DENIC.
Investigação’s fulde forklaring af oprindelsen af den misdannede signatur var stadig i gang i dagene efter hændelsen.
