昨夜、ドイツの国別トップレベルドメイン名(ccTLD)で大規模かつ長期の停止が発生しました。この機能停止は、DE ドメイン名のルート ドメイン ネーム サーバーの障害ではなく、ドメイン名で使用される DNSSEC 暗号化システムの署名のエラーであるようです。署名自体のエラーにより、DE ドメインの名前空間全体が麻痺しました。
分析の結果、専門家はこれが DENIC (ドメイン名の管理を担当する機関) による低レベルの構成エラーであることを発見しました。理由は、DENIC が ZSK キーをローテーションするときに不正な形式の署名を発行したためです。 ZSK は、DNSSEC 暗号化に使用される空間署名キーを指します。
不正な形式の署名が公開されるため、DNSSEC 暗号化検証を有効にするすべての再帰パーサーは SERVFAIL エラーを返し、その結果、多数の .de ドメイン名が正常に解析できなくなります。たとえば、ドイツの電子商取引 Web サイト Amazon.de は正常に読み込むことができません。
1.1.1.1のパブリックDNSサーバーを運用するCloudflareは異常を検知後、直ちにDEドメイン名のDNSSEC検証をオフにしたため、1.1.1.1と1.0.0.1のユーザーは特にありませんでした。影響を受けますが、他のパブリック DNS サーバーを使用しているユーザーには、長期間アクセスできないエラーが発生する可能性があります。
しかし、Cloudflareのアプローチは、攻撃があった場合(つまり、攻撃を利用して注意をそらし、主流のパブリックDNSサーバープロバイダーにDNSSECをオフにさせ、ハッカーが他のハイジャックを実行できるようにする)、この検証の緊急シャットダウンもターゲットになるかどうかという疑問を引き起こします。
DNSSEC は元々、DNS スプーフィングを防ぐために追加されたデジタル署名層でした。単純な構成エラーにより、DE ドメイン名が直接オフラインになる可能性があります。したがって、業界の一部の人々は、インターネットのフェイルオーバー機能がここでは機能しないと嘆いています。 DNSSEC はセキュリティを向上させますが、脆弱性も高めます。
さらに、この問題の責任者である DENIC も、DNSSEC 署名が有効になっているすべての DE ドメイン名がアクセシビリティの点で影響を受けることを認める発表を発表しました。 DENICは、中断の根本原因はまだ完全には解明されておらず、技術チームは分析し、できるだけ早く安定した動作を回復するために懸命に取り組んでいると述べた。
注: この記事の公開時点では、DNSSEC によって暗号化された DE ドメイン名へのアクセスは段階的に復元されています。ただし、ドメイン名ごとに TTL 生存時間が異なるため、ドメイン名によっては、アクセスする前にグローバル DNS が更新されるまで待機する必要がある場合があります。