检测到异常后,负责运营 1.1.1.1 公共 DNS 办事器的 Cloudflare 急速封闭针对 DE 域名的 DNSSEC 验证,是以应用 1.1.1.1 和 1.0.0.1 的用户受到的影响不是特别大年夜,但应用其他公共 DNS 办事器的用户可能就会碰到长时光无法拜访的缺点。
专业人士经由分析后发明这属于 DENIC (负责治理该域名的机构) 初级设备掉误,原因是 DENIC 在轮换 ZSK 密钥时宣布格局缺点的签名,ZSK 指的是空间签名密钥,这个密钥用于 DNSSEC 加密。
因为宣布格局缺点的签名,所有启用 DNSSEC 加密验证的递归解析器都邑返回 SERVFAIL 缺点,这导致海量.de 域名无法正常解析,例如电商网站亚马逊德国区 Amazon.de 就无法正常加载。
但 Cloudflare 的做法也引起质疑,即假如真碰到进击时,这种紧急封闭验证的做法是否也会成为目标 (即应用进击转移留意力,然后让主流公共 DNS 办事器供给商封闭 DNSSEC,如许黑客再进行其他劫持)。
DNSSEC 本来是为了防止 DNS 欺骗而增长的数字签名层,简单的设备掉误就让 DE 域名直接离线,所以也有业内人士感慨互联网的故障转移才能在这里掉效,DNSSEC 晋升安然性的同时也增长了脆性。
别的负责这个问题的 DENIC 也宣布通知布告承认所有启用 DNSSEC 签名的 DE 域名在可拜访性方面受到影响,DENIC 称中断的根来源基本因还未完全肯定,技巧团队正在全力分析并尽快恢复稳定运行。
注:截至本文宣布时,采取 DNSSEC 加密的 DE 域名已经陆续恢复拜访,但因为不合域名设置的 TTL 生计时光不合,部分域名可能还须要等待全球 DNS 刷新过后才能拜访。
发表评论 取消回复