Le nom de domaine de premier niveau national allemand (ccTLD) a connu une panne à grande échelle et à long terme hier soir. Cette panne ne semble pas être une panne du serveur de noms de domaine racine du nom de domaine DE, mais une erreur dans la signature du système de cryptage DNSSEC utilisé par le nom de domaine. En raison de l'erreur dans la signature elle-même, tout l'espace des noms de domaine DE a été paralysé.
Après analyse, les professionnels ont constaté qu'il s'agissait d'une erreur de configuration de bas niveau de la part de DENIC (l'agence chargée de gérer le nom de domaine). La raison en était que DENIC avait émis une signature mal formée lors de la rotation de la clé ZSK. ZSK fait référence à la clé de signature spatiale utilisée pour le cryptage DNSSEC.
En raison de la publication de signatures mal formées, tous les analyseurs récursifs qui activent la vérification du cryptage DNSSEC renverront des erreurs SERVFAIL, ce qui empêchera un grand nombre de noms de domaine .de d'être analysés normalement. Par exemple, le site de commerce électronique Amazon.de en Allemagne ne peut pas être chargé normalement.
Après avoir détecté l'anomalie, Cloudflare, qui exploite le serveur DNS public 1.1.1.1, a immédiatement désactivé la validation DNSSEC pour le nom de domaine DE, donc 1.1.1.1 et 1.0.0.1 ont été utilisés. Les utilisateurs de ne sont pas particulièrement affecté, mais les utilisateurs utilisant d'autres serveurs DNS publics peuvent rencontrer des erreurs d'inaccessibilité à long terme.
Mais l'approche de Cloudflare soulève également la question de savoir si cet arrêt d'urgence de la vérification sera également une cible en cas d'attaque (c'est-à-dire utiliser l'attaque pour détourner l'attention, puis laisser les principaux fournisseurs de serveurs DNS publics désactiver DNSSEC, afin que les pirates puissent effectuer d'autres détournements).
DNSSEC était à l'origine une couche de signature numérique ajoutée pour empêcher l'usurpation d'identité DNS. Une simple erreur de configuration peut directement mettre le nom de domaine DE hors ligne. C'est pourquoi certains acteurs du secteur déplorent l'échec de la capacité de basculement d'Internet. DNSSEC améliore la sécurité et augmente également la fragilité.
En outre, DENIC, responsable de ce problème, a également publié une annonce reconnaissant que tous les noms de domaine DE avec la signature DNSSEC activée sont affectés en termes d'accessibilité. DENIC a déclaré que la cause première de l'interruption n'a pas encore été entièrement déterminée et que l'équipe technique travaille dur pour analyser et rétablir un fonctionnement stable dès que possible.
Remarque : Depuis la publication de cet article, l'accès aux noms de domaine DE cryptés par DNSSEC a été progressivement rétabli. Cependant, étant donné que les différents noms de domaine ont des durées de survie TTL différentes, certains noms de domaine peuvent devoir attendre que le DNS global soit actualisé avant de pouvoir y accéder.