Werbung
Seit gestern gegen 22:00 Uhr waren viele DE-Domains gestört und nicht erreichbar. Offenbar kam es zu DNS-Problemen, sodass die Domains nicht mehr den korrekten IPs zugeordnet wurden. Befanden sich diese Informationen noch im DNS-Cache, waren die Seiten weiterhin erreichbar. Betroffen waren alle durch die DNSSEC validierten Server. Es half also auch nicht, wenn man einen zum Internetprovider alternativen DNS-Server wie von Cloudflare, Quad9 oder Google verwendete.
Über die Nachtstunden eine Lösungsmöglichkeit war die Nutzung eines nicht validierten DNS‑Servers. Kurz vor Mitternacht veröffentlichte die DENIC dann die folgende Stellungnahme:
DENIC eG is currently experiencing a disruption in its DNS service for .de domains. As a result, all DNSSEC-signed .de domains are currently affected in their reachability.
The root cause of the disruption has not yet been fully identified. DENIC's technical teams are working intensively on analysis and on restoring stable operations as quickly as possible.
Based on current information, users and operators of de domains may experience impairments in domain resolution. Further updates will be provided as soon as reliable findings on the cause and recovery are available.
DENIC asks all affected parties for their understanding. For further enquiries, DENIC can be contacted via the usual channels.
Am Morgen scheinen die Probleme behoben worden zu sein. Auch die Ursache scheint gefunden zu sein:
Für die DE-Zone wurde ein NSEC3-Record mit einer fehlerhaften, genauer gesagt beschädigten RRSIG-Signatur (Keytag 33834) ausgeliefert. Infolgedessen bewerteten validierende Resolver die komplette DNSSEC-Vertrauenskette als ungültig und beantworteten Anfragen mit SERVFAIL.
Im Rahmen einer DNSSEC-Abfrage stellen die DENIC-Nameserver zur Negation eines DS-Records (Delegation Signer) einen NSEC3-Record bereit. Dieser muss zwingend durch eine RRSIG-Signatur abgesichert sein – genau diese Signatur war in diesem Fall offenbar fehlerhaft.
