德國國家頂級域名(ccTLD).de 昨天晚上出現大規模長時間中斷,這次中斷並非 .de 域名伺服器故障,而是該域名採用的 DNSSEC 加密系統簽名錯誤。由於簽名本身出現錯誤隱患,導致整個 .de 域名空間都無法解析。專業人士經分析後發現,這屬於 DENIC(負責管理該域名的機構)低級配置錯誤,原本是 DENIC 在更換 ZSK 密鑰時發佈格式錯誤的簽名,ZSK 指的正是空間簽名密鑰,這個密鑰用於 DNSSEC 加密。
由於發佈格式錯誤的簽名,所有啟用 DNSSEC 加密驗證的遞歸解析器都會返回 SERVFAIL 錯誤,這導致海量 .de 域名無法正常解析,例如電商網站Amazon德國區 Amazon.de 就無法正常載入。
DNSSEC 配置失誤引發全球影響
偵測到異常後,負責運營 1.1.1.1 公用 DNS 伺服器的 Cloudflare 立即關閉針對 .de 域名的 DNSSEC 驗證,因此使用 1.1.1.1 和 1.0.0.1 的用戶受到的影響並不是特別大,但使用其他公用 DNS 伺服器的用戶就會遇到長時間無法訪問的錯誤。但 Cloudflare 的做法也引起質疑,即便真遇到攻擊時,這種緊急關閉驗證的做法是否也會成為目標(即利用攻擊轉移注意力,然後讓主公用 DNS 服務商關閉 DNSSEC,這個黑客再進行其他挾持)。
DNSSEC 本來是為了防止 DNS 欺詐而增強的數字簽名層,簡單的配置錯誤就讓 .de 域名直接離線,所以也有業者感嘆互聯網的容錯轉移能力在這裡失效,DNSSEC 提升安全性的同時也增加了脆弱性。此外負責這個問題的 DENIC 也發佈公告承認所有啟用 DNSSEC 簽名的 .de 域名在可訪問性方面受到影響,DENIC 稱中斷的根本原因尚未完全確定,技術團隊正全力分析並盡快恢復穩定運行。
註:截至本文章發佈時,啟用 DNSSEC 加密的 .de 域名已經逐步恢復訪問,但由於不同域名設定的 TTL 生存時間不同,部分域名可能還需要等待全球 DNS 更新過後才能訪問。
📬 免費訂閱 TechRitual 科技精選
每 3 日由 AI 精選 5 篇最重要香港科技新聞,直送你信箱
或者