El nombre de dominio de nivel superior a nivel nacional (ccTLD) alemán experimentó anoche una interrupción a gran escala y de larga duración. Esta interrupción no parece ser una falla del servidor de nombres de dominio raíz del nombre de dominio DE, sino un error en la firma del sistema de cifrado DNSSEC utilizado por el nombre de dominio. Debido al error en la propia firma, todo el espacio de nombres de dominio DE quedó paralizado.
Después del análisis, los profesionales descubrieron que se trataba de un error de configuración de bajo nivel por parte de DENIC (la agencia responsable de administrar el nombre de dominio). El motivo fue que DENIC emitió una firma con formato incorrecto al girar la clave ZSK. ZSK se refiere a la clave de firma espacial, que se utiliza para el cifrado DNSSEC.
Debido a la publicación de firmas con formato incorrecto, todos los analizadores recursivos que habilitan la verificación de cifrado DNSSEC devolverán errores SERVFAIL, lo que resulta en que una gran cantidad de nombres de dominio .de no se puedan analizar normalmente. Por ejemplo, el sitio web de comercio electrónico Amazon.de en Alemania no se puede cargar normalmente.
Después de detectar la anomalía, Cloudflare, que opera el servidor DNS público 1.1.1.1, desactivó inmediatamente la validación DNSSEC para el nombre de dominio DE, por lo que se utilizaron 1.1.1.1 y 1.0.0.1. Los usuarios de no se ven particularmente afectados, pero los usuarios que utilizan otros servidores DNS públicos pueden experimentar errores de inaccesibilidad a largo plazo.
Pero el enfoque de Cloudflare también plantea dudas sobre si este cierre de emergencia de la verificación también será un objetivo si hay un ataque (es decir, usar el ataque para desviar la atención y luego permitir que los principales proveedores de servidores DNS públicos apaguen DNSSEC, para que los piratas informáticos puedan realizar otros secuestros).
DNSSEC era originalmente una capa de firma digital agregada para evitar la suplantación de DNS. Un simple error de configuración puede desconectar directamente el nombre de dominio DE. Por lo tanto, algunas personas en la industria lamentan que la capacidad de conmutación por error de Internet falle aquí. DNSSEC mejora la seguridad y también aumenta la fragilidad.
Además, DENIC, responsable de este problema, también emitió un anuncio reconociendo que todos los nombres de dominio DE con firma DNSSEC habilitada se ven afectados en términos de accesibilidad. DENIC dijo que la causa raíz de la interrupción aún no se ha determinado por completo y que el equipo técnico está trabajando arduamente para analizar y restablecer el funcionamiento estable lo antes posible.
Nota: A partir de la publicación de este artículo, el acceso a los nombres de dominio DE cifrados por DNSSEC se ha restablecido gradualmente. Sin embargo, debido a que diferentes nombres de dominio tienen diferentes tiempos de supervivencia TTL, es posible que algunos nombres de dominio deban esperar a que se actualice el DNS global antes de poder acceder a ellos.