2026年5月5日,大约世界标准时间19:30,.de国家/地区代码顶级域(TLD)的注册运营商DENIC开始为.de区域发布不正确的DNSSEC签名。DNSSEC规范要求接收这些签名的任何验证DNS解析器拒绝这些签名并将SERVFAIL返回给客户端,包括由Cloudflare运营的公共DNS解析器1.1.1.1。
德国的国家代码顶级域名.de是互联网上最大的域名之一。在Cloudflare Radar上,它一直是全球查询最广泛的TLD之一。此级别的DNS层次结构中断可能会导致数百万个域无法访问。在本文中,我们将介绍我们所看到的情况、这些事件的影响,以及在DENIC解决问题时我们如何采取临时缓解措施。
DNSSEC (域名系统安全扩展)将加密身份验证添加到DNS。当使用DNSSEC对区域进行签名时,每组记录都附有一个称为RRSIG记录的数字签名,该数字签名允许解析器验证记录未被篡改。与加密DNS协议(如DNS over TLS (DoT)和DNS over HTTPs (DoH) )不同, DNSSEC关注的是完整性,而不是隐私。
记录是可见的,但可以证明其真实性。DNSSEC的独特之处在于,签名与其保护的记录一起传输。这意味着无论响应通过了多少缓存或跃点,都可以验证完整性。缓存记录与新记录一样可验证。DNSSEC建立在信任链之上。
从根区域开始,其信任锚点被硬编码到解析器中,每个区域通过委托签名者(DS)记录将信任委托给子区域。父区域中的DS记录包含子区域中公钥的加密哈希。当解析器验证example.de时,它会验证链: root trusts.de,.de信任example.de。