Доменная зона DE на несколько часов была выведена из строя из-за DNSSEC

06.05.2026 09:31 (MSK)

Произошёл массовый сбой в работе доменной зоны "DE", применяемой в Германии. Проблемы возникли из-за ошибки в настройке DNSSEC для корневой зоны "DE", совершённой организацией DENIC, отвечающей за домен первого уровня "DE". С 5 мая 22:30 по 6 мая 1:30 (MSK) попытка резолвинга доменов в зоне "DE" через DNS-серверы, применяющие DNSSEC для проверки достоверности данных, завершалась ошибкой. На DNS-серверах, применяющих DNSSEC, сбой наблюдался и при резолвинге доменов, напрямую не использующих DNSSEC.

Проблема затронула многие DNS-резолверы провайдеров и публичные DNS-сервисы, такие как 1.1.1.1 и 8.8.8.8. В качестве временной меры компания Cloudflare в своём DNS-сервисе 1.1.1.1 отключила проверку подлинности через DNSSEC для доменов в зоне "DE". Пользователи DNS-резолверов, на которых DNSSEC отключён, не пострадали.

Официально причины инцидента пока не объявлены. Предполагается, что проблема возникла из-за ошибки при обновлении цифровой подписи для зоны "DE", произведённом 5 мая в 20:49 (MSK). Применяемый для верификации домена первого уровня ключ является корнем доверия для остальных ключей, используемых в доменах второго уровня, и, в свою очередь, использует ключ домена "." в качестве вышестоящего для подтверждения своего доверия.

В результате проведённой в доменной зоне "DE" операции криптографическая подпись (RRSIG - Resource Record Signature) для DNS-записи NSEC3 оказалась некорректной. Запись NSEC3 применяется для подтверждения подлинности DNS-ответов об отсутствии домена, чтобы исключить атаки по подстановке ответов NXDOMAIN для существующих доменов. В случае проблем с цифровой подписью для записи NSEC3 DNS-сервер не может удостовериться в подлинности хэшей с данными о существовании доменов и, соответственно, не может произвести проверку, считает ответ поддельным и на запросы о любом домене выдаёт ошибку.

исправить +6 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65380-dnssec

Ключевые слова: dnssec, dns, domain

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (30)

1.1, Tron is Whistling (?), 09:47, 06/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Шо, опять? Для DNSSEC такие проблемы - это норма жизни.

2.3, Tron is Whistling (?), 09:50, 06/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Вот здесь чуть больше истории веселухи. https://ianix.com/pub/dnssec-outages.html А самое интересное, что в целом DNSSEC бесполезен - резолвер у апстрима может просто перехватывать DNS и срезать все записи DNSSEC, хост будет считать, что DNSSEC просто нет.

3.23, Аноним (23), 11:56, 06/05/2026 [^] [^^] [^^^] [ответить]	+/–
Резолверы, которым нужен DNSSEC, настраиваются так что отсутствие DNSSEC само по себе является ошибкой. Твоя виндо/мако/лино/андроидо/айосо-коробка по дефолту вообще нихрена не проверяет, можешь даже не переживать по этому поводу если тебе DNSSEC не нужен, у тебя и так уже все домены хотя бы раз провайдер подменял и удалял.

4.35, Tron is Whistling (?), 13:18, 06/05/2026 [^] [^^] [^^^] [ответить]	+/–
Даже клаудфлара выключила DNSSEC на резолверах для .de в этом кейсе, а ты всё туда же. Вот кому нужна проверка DNSSEC - те и включают. У себя на хостах (и тут будет сюрприз - та же винда вообще в DNSSEC не умеет) или на своих собственных резолверах. Которые поднимают сами и трахаются с ними, когда DNSSEC упадёт - тоже сами.

4.36, Tron is Whistling (?), 13:21, 06/05/2026 [^] [^^] [^^^] [ответить]

+/–

Так что в целом согласен:

"Резолверы, которым нужен DNSSEC, настраиваются так что отсутствие DNSSEC само по себе является ошибкой" - абсолютно так.

Проблема в другом. Таких полтора землекопа в этой вариации, да и они, отгребя проблем, выключат по итогам. Ну и если оно у всех не включено - полагаться на него в твоих собственных доменах бессмысленно. Тот же DANE летать не будет, потому что. Ключ могут подменить, а большинство резолверов схавает.

Что и позволяет говорить о том, что DNSSEC - бесполезная херня.

2.5, timur.davletshin (ok), 09:54, 06/05/2026 [^] [^^] [^^^] [ответить]	+3 +/–
Это просто пример того, что администраторы не понимают в DNSSEC. Как и в gnupg...

3.6, Tron is Whistling (?), 09:56, 06/05/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Это просто пример того, что ваши поляпки "лучшего видения мира" на практике неюзабельны.

3.31, Аноним (-), 12:38, 06/05/2026 Скрыто ботом-модератором [к модератору]	+1 +/–

1.4, Bob (??), 09:51, 06/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Ручками меняли или ИИ прикрутили?

2.8, Аноним (8), 09:59, 06/05/2026 [^] [^^] [^^^] [ответить]	+4 +/–
Токены внезапно закончились, и несколько часов потратили на согласование и закупку. Учитывая что всё происходило после 17:00 по местному времени - небывалое проявление ответственности к своей работе для немцев.

3.9, Tron is Whistling (?), 10:01, 06/05/2026 [^] [^^] [^^^] [ответить]	+3 +/–
Выбор времени кстати вполне адекватный. Офисы закрылись, а домоюзеры в случае чего перетерпят.

4.10, Аноним (8), 10:02, 06/05/2026 [^] [^^] [^^^] [ответить]	+4 +/–
Турки наемные скорее всего. Немцам профсоюз не позволит так гореть на работе

3.15, Аноним (15), 10:45, 06/05/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Зря ты так, они наверное за три недели согласовали с workers council овертайм

1.7, Tron is Whistling (?), 09:58, 06/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Сейчас ещё время жизни сертификатов SSL до 90 дней сократят - и начнётся. Я уже купил склад попкорна.

2.27, Аноним (27), 12:17, 06/05/2026 [^] [^^] [^^^] [ответить]	+/–
Он протухнет, потому что ничего не будет.

3.37, Tron is Whistling (?), 13:22, 06/05/2026 [^] [^^] [^^^] [ответить]	+/–
Неа, SSL протухнет первым.

2.38, Аноним (38), 13:22, 06/05/2026 [^] [^^] [^^^] [ответить]	+/–
> проблема возникла из-за ошибки при обновлении цифровой подписи Хороший инструмент, щёлк пальчиками - и весь сегмент выключен.

1.12, Аноним (-), 10:06, 06/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
> Доменная зона DE на несколько часов была > выведена из строя из-за DNSSEC В смысле - выведена из строя?! Наоборот SEC наступил - в его полном варианте! Если хост даже не резольвится - вот облом то для атакуюзего. Это же еще надо было догадаться заранее айпишник записать, на случай такой подставы.

2.17, Tron is Whistling (?), 10:55, 06/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Вот да. Нет резолва - нет проблем, 100% секурно.

1.19, Макан Негодяй (?), 11:35, 06/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
То, что все публичные DNS не перешли на namecoin или любой другой независимый блокчейн спустя 25 лет с момента его появления - это не просто позор, это кассета гвоздей в крышку гроба так называемого человечества.

2.21, ryoken (ok), 11:38, 06/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
> это кассета гвоздей Quake 1 & Super Nailgun

2.22, Чел (?), 11:41, 06/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Так поди если покопаться там куча бабла и переходить куда-то значит с этой кучей распрощаться

2.24, Аноним (23), 12:01, 06/05/2026 [^] [^^] [^^^] [ответить]	+/–
Ты свой резолвер то поднял, куда полезет 10к телевизоров в наносекунду с запросами рандомно-наштруганных хостов на AWS и точно так же твой хост будет 10к запросов в наносекунду для всех этих доменов ходить в NS AWS и доблять их к себе в кэш?

3.25, Макан Негодяй (?), 12:04, 06/05/2026 [^] [^^] [^^^] [ответить]	+/–
А сейчас что мешает этим 10к телевизорам рандомно-наштруганные запрашивать?

4.30, Аноним (23), 12:37, 06/05/2026 [^] [^^] [^^^] [ответить]	+/–
Тем, что им твой резолвер нафиг не нужен. А как только DNS превращается в p2p, резко выясняется, что большинство софта в девайсах "для нормисов" делалось кривозубыми мдками, которые преследуют свои цели, а не совместимость с другими девайсами.

5.32, Макан Негодяй (?), 12:51, 06/05/2026 [^] [^^] [^^^] [ответить]	+/–
Это проблемы владельцев таких девайсов. Придётся им в комплекте к телевизору дополнительно свой резолвер покупать, чтоб не банили.

5.33, Аноним (23), 12:55, 06/05/2026 [^] [^^] [^^^] [ответить]	+/–
К тому же "перешли на чейкоин" - это не сильно лучше, чем та система, которая есть сейчас. Любой девайс (или хотя бы роутер) в праве проверять самостоятельно DNSSEC ANS сервера напрямую, скачав ключик один раз и положив в папку. Доверие можешь прикрутить сбоку каким хочешь механизмом, сейчас это делается через TLD которые централизованно назначаются ICANN и весь движ происходит на коммерции. Не хочешь красивых имён? Ради бога - добро пожаловать в Tor, I2P и другие подобные схемы, где у доменов есть математическая привязка к ключу. Тут даже торговаться не надо за красивый домен, потому что кто знает ключ - тот и владелец, сам себя можешь авторизовывать, если резолвер обучить этому. Но тогда возникает вопрос - а кто тебя такого красивого будет резолвить с твоими понагенеренными доменами на каждый случай жизни? И получается что это должен быть бесплатный движ тех кому не лень. У Тора куча бабок на эти занятия. У I2P - не очень. Сравни связность обоих сеток.

1.26, Аноним (26), 12:05, 06/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Вин3 норм работает, а эти тут новомодностей наклепали, ироды. Теперь обновляться придется дойче-госу . Пусть частники отдуваются со своими Суси.

2.28, Аноним (27), 12:20, 06/05/2026 [^] [^^] [^^^] [ответить]	+/–
Вину взломали русские хакеры не иначе.

3.29, Жироватт (ok), 12:37, 06/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Ну...да. Не Ганс Рукокрюке же

игнорирование участников | лог модерирования

Добавить комментарий

Текст: