독일 국가 수준 최상위 도메인 이름(ccTLD)이 어젯밤에 대규모 및 장기적인 중단을 겪었습니다. 이번 중단은 DE 도메인 이름의 루트 도메인 이름 서버에 장애가 발생한 것이 아니라 해당 도메인 이름에서 사용하는 DNSSEC 암호화 시스템의 서명에 오류가 발생한 것으로 보입니다. 서명 자체의 오류로 인해 DE 도메인 네임스페이스 전체가 마비되었습니다.
전문가들은 분석 결과 이것이 DENIC(도메인 이름 관리 기관)의 하위 수준 구성 오류라는 것을 발견했습니다. 그 이유는 ZSK 키를 순환할 때 DENIC가 잘못된 서명을 발행했기 때문입니다. ZSK는 DNSSEC 암호화에 사용되는 공간 서명 키를 나타냅니다.
잘못된 서명 게시로 인해 DNSSEC 암호화 확인을 활성화하는 모든 재귀 파서는 SERVFAIL 오류를 반환하며, 이로 인해 다수의 .de 도메인 이름을 정상적으로 파싱할 수 없게 됩니다. 예를 들어 독일의 전자상거래 웹사이트 Amazon.de는 정상적으로 로드할 수 없습니다.
1.1.1.1 공용 DNS 서버를 운영하는 Cloudflare는 이상 현상을 감지한 후 즉시 DE 도메인 이름에 대한 DNSSEC 유효성 검사를 해제했기 때문에 1.1.1.1 및 1.0.0.1을 사용했습니다. 의 사용자는 특별히 영향을 받지 않지만 사용자는 다른 공용 DNS 서버를 사용하면 장기간 접근 불가 오류가 발생할 수 있습니다.
그러나 Cloudflare의 접근 방식은 공격이 있을 경우 이러한 긴급 확인 종료도 표적이 될지 여부에 대한 의문을 제기합니다(즉, 공격을 사용하여 주의를 돌리고 주류 공용 DNS 서버 공급자가 DNSSEC를 꺼서 해커가 다른 하이재킹을 수행할 수 있도록 하는 것입니다).
DNSSEC는 원래 DNS 스푸핑을 방지하기 위해 추가된 디지털 서명 레이어였습니다. 간단한 구성 오류로 인해 DE 도메인 이름이 오프라인으로 직접 전환될 수 있습니다. 따라서 업계의 일부 사람들은 여기서 인터넷의 장애 조치 기능이 실패했다고 한탄합니다. DNSSEC는 보안을 향상시키고 취약성을 증가시킵니다.
또한 이 문제를 담당하는 DENIC에서는 DNSSEC 서명이 활성화된 모든 DE 도메인 이름이 접근성 측면에서 영향을 받는다는 점을 인정하는 공지도 발표했습니다. DENIC은 중단의 근본 원인이 아직 완전히 파악되지 않았으며 기술팀은 가능한 한 빠른 시일 내에 안정적인 운영을 분석하고 복원하기 위해 노력하고 있다고 밝혔습니다.
참고: 이 문서가 게시된 시점에서 DNSSEC로 암호화된 DE 도메인 이름에 대한 액세스가 점진적으로 복원되었습니다. 그러나 도메인 이름마다 TTL 생존 시간이 다르기 때문에 일부 도메인 이름은 액세스하기 전에 전역 DNS가 새로 고쳐질 때까지 기다려야 할 수 있습니다.