5 мая 2026 года DENIC, оператор доменной зоны .de, опубликовал неверные DNSSEC сигнатуры, что привело к недоступности миллионов доменов. Это серьезный инцидент, который подчеркивает важность обеспечения корректности dns-ответов, особенно для третьего по величине ccTLD в мире.
Что произошло
Недействительные DNSSEC сигнатуры начали поступать примерно в 19:30 UTC. В результате любой валидирующий DNS-резолвер, который получал эти сигнатуры, был обязан отклонить их и вернуть ошибку SERVFAIL. Это происходило на всех основных платформах, включая публичный DNS-резолвер Cloudflare — 1.1.1.1.
Некоторое время спустя количество запросов к доменам .de резко увеличилось, так как пользователи пытались повторно получить доступ к ресурсам, что только усугубляло ситуацию. По этим Cloudflare, количество ошибок SERVFAIL увеличивалось на протяжении трех часов, так как кешированные записи исчерпывались и резолверы возвращались за свежими копиями, получая сломанные сигнатуры.
Как это связано с DNSSEC
DNSSEC добавляет к системе доменных имен криптографическую аутентификацию, позволяя проверять целостность данных. Когда зона подписана DNSSEC, каждая запись сопровождается цифровой подписью, которая позволяет убедиться, что записи не были изменены. В этом случае ошибка в сигнатурах подрывает всю цепочку доверия: если корневой удостоверяющий центр не доверяет домену верхнего уровня, то и все поддомены подлежат сомнению.
В нормальном режиме существовало два типа ключей: ключ зоны (ZSK) для подписания записей и ключ подписки (KSK) для подписания ZSK. Во время инцидента скорее всего произошел сбой при обновлении ключей, что и привело к проблемам с валидацией.
Что это значит для разработчиков и организаций
Инцидент с DNSSEC показывает, насколько уязвимым может быть интернет при ошибках на высоком уровне DNS. Для разработчиков это важный урок о необходимости внимательно следить за актуальностью и корректностью конфигураций DNS-систем, особенно когда речь идет о больших TLD, таких как .de. Для компаний это сигнал: необходимо иметь механизмы для быстрого реагирования на подобные инциденты, чтобы минимизировать влияние на пользователей.
Следующим шагом станет мониторинг ситуации и анализ действий DENIC по устранению проблемы. Также стоит ожидать волнующую обратную связь от пользователей, которые столкнулись с недоступностью ресурсов.
