Tên miền cấp cao nhất cấp quốc gia (ccTLD) của Đức đã gặp sự cố ngừng hoạt động trên diện rộng và kéo dài vào đêm qua. Sự cố ngừng hoạt động này dường như không phải do lỗi máy chủ tên miền gốc của tên miền DE mà là lỗi về chữ ký của hệ thống mã hóa DNSSEC được tên miền sử dụng. Do lỗi ở chữ ký nên toàn bộ không gian tên miền DE bị tê liệt.
Sau khi phân tích, các chuyên gia nhận thấy đây là lỗi cấu hình cấp thấp của DENIC (cơ quan chịu trách nhiệm quản lý tên miền). Lý do là DENIC đã đưa ra các chữ ký không đúng định dạng khi xoay khóa ZSK. ZSK đề cập đến khóa chữ ký không gian, được sử dụng để mã hóa DNSSEC.
Do phát hành chữ ký không đúng định dạng, tất cả các trình phân tích cú pháp đệ quy kích hoạt xác minh mã hóa DNSSEC sẽ trả về lỗi SERVFAIL, dẫn đến một số lượng lớn tên miền .de không thể được phân tích cú pháp bình thường. Ví dụ: trang web thương mại điện tử Amazon.de ở Đức không thể tải bình thường.
Sau khi phát hiện sự bất thường, Cloudflare, công ty vận hành máy chủ DNS công cộng 1.1.1.1, đã ngay lập tức tắt xác thực DNSSEC cho tên miền DE, vì vậy 1.1.1.1 và 1.0.0.1 đã được sử dụng. Người dùng không bị ảnh hưởng đặc biệt, nhưng người dùng sử dụng máy chủ DNS công cộng khác có thể gặp lỗi không thể truy cập lâu dài.
Nhưng cách tiếp cận của Cloudflare cũng đặt ra câu hỏi về việc liệu việc tắt xác minh khẩn cấp này có trở thành mục tiêu nếu có một cuộc tấn công hay không (nghĩa là sử dụng cuộc tấn công để chuyển hướng sự chú ý và sau đó cho phép các nhà cung cấp máy chủ DNS công cộng chính thống tắt DNSSEC để tin tặc có thể tiến hành các vụ tấn công khác).
DNSSEC ban đầu là lớp chữ ký số được thêm vào để ngăn chặn giả mạo DNS. Một lỗi cấu hình đơn giản có thể trực tiếp khiến tên miền DE ngoại tuyến. Vì vậy, một số người trong ngành than thở rằng khả năng chuyển đổi dự phòng của Internet không thành công ở đây. DNSSEC cải thiện tính bảo mật và cũng làm tăng độ giòn.
Ngoài ra, DENIC, đơn vị chịu trách nhiệm về vấn đề này, cũng đưa ra thông báo thừa nhận rằng tất cả các tên miền DE có bật chữ ký DNSSEC đều bị ảnh hưởng về khả năng truy cập. DENIC cho biết nguyên nhân cốt lõi của sự gián đoạn vẫn chưa được xác định đầy đủ và đội ngũ kỹ thuật đang nỗ lực phân tích và khôi phục hoạt động ổn định càng sớm càng tốt.
Lưu ý: Kể từ khi xuất bản bài viết này, quyền truy cập vào tên miền DE được mã hóa bởi DNSSEC đã dần được khôi phục. Tuy nhiên, vì các tên miền khác nhau có thời gian tồn tại TTL khác nhau nên một số tên miền có thể cần phải đợi DNS toàn cầu được làm mới trước khi có thể truy cập được.