De Duitse topniveaudomeinnaam (ccTLD) heeft gisteravond te kampen gehad met een grootschalige en langdurige storing. Deze storing lijkt geen storing te zijn van de rootdomeinnaamserver van de DE-domeinnaam, maar een fout in de handtekening van het DNSSEC-encryptiesysteem dat door de domeinnaam wordt gebruikt. Door de fout in de handtekening zelf was de volledige DE-domeinnaamruimte lamgelegd.
Na analyse ontdekten professionals dat dit een configuratiefout op laag niveau was van DENIC (de instantie die verantwoordelijk is voor het beheer van de domeinnaam). De reden was dat DENIC een verkeerd opgemaakte handtekening uitgaf bij het draaien van de ZSK-sleutel. ZSK verwijst naar de ruimtelijke handtekeningsleutel, die wordt gebruikt voor DNSSEC-codering.
Vanwege het publiceren van verkeerd opgemaakte handtekeningen zullen alle recursieve parsers die DNSSEC-encryptieverificatie inschakelen SERVFAIL-fouten retourneren, wat ertoe leidt dat een groot aantal .de-domeinnamen niet normaal kan worden geparseerd. De e-commercewebsite Amazon.de in Duitsland kan bijvoorbeeld niet normaal worden geladen.
Nadat de anomalie werd gedetecteerd, schakelde Cloudflare, die de openbare DNS-server 1.1.1.1 beheert, de DNSSEC-validatie voor de DE-domeinnaam onmiddellijk uit, dus werden 1.1.1.1 en 1.0.0.1 gebruikt Gebruikers van worden niet bijzonder getroffen, maar gebruikers die andere openbare DNS-servers gebruiken, kunnen op lange termijn ontoegankelijkheidsfouten ervaren.
Maar de aanpak van Cloudflare roept ook vragen op over de vraag of deze noodstop van de verificatie ook een doelwit zal zijn als er een aanval plaatsvindt (dat wil zeggen, de aanval gebruiken om de aandacht af te leiden, en vervolgens de reguliere publieke DNS-serverproviders DNSSEC laten uitschakelen, zodat hackers andere kapingen kunnen uitvoeren).
DNSSEC was oorspronkelijk een laag voor digitale handtekeningen die werd toegevoegd om DNS-spoofing te voorkomen. Een simpele configuratiefout kan de DE-domeinnaam direct offline halen. Daarom betreuren sommige mensen in de sector dat de failover-mogelijkheid van internet hier faalt. DNSSEC verbetert de veiligheid en vergroot ook de broosheid.
Bovendien heeft DENIC, die verantwoordelijk is voor dit probleem, ook een aankondiging uitgegeven waarin wordt erkend dat alle DE-domeinnamen met ingeschakelde DNSSEC-handtekening worden beïnvloed in termen van toegankelijkheid. DENIC zei dat de oorzaak van de onderbreking nog niet volledig is vastgesteld en dat het technische team er hard aan werkt om de stabiele werking zo snel mogelijk te analyseren en te herstellen.
Opmerking: Vanaf de publicatie van dit artikel is de toegang tot DE-domeinnamen die zijn gecodeerd door DNSSEC geleidelijk hersteld. Omdat verschillende domeinnamen echter verschillende TTL-overlevingstijden hebben, moeten sommige domeinnamen mogelijk wachten tot de globale DNS is vernieuwd voordat ze toegankelijk zijn.