.de TLD đang ngoại tuyến vì DNSSEC?

 (dnssec-analyzer.verisignlabs.com)
1 điểm bởi GN⁺ 1 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Kết quả của nic.de DNSSEC Debugger tính đến 2026-05-06 00:38:26 UTC, và xác minh chuỗi tin cậy từng bước từ root qua .de đến nic.de
  • Vùng root bao gồm DS=20326/SHA-256DS=38696/SHA-256, và DS keytag 26755 của phần ủy quyền .de được xác minh bằng chữ ký root DNSKEY=54393
  • Vùng .de bao gồm DNSKEY=26755/SEPDNSKEY=32911, và DS=26755/SHA-256 xác minh DNSKEY RRset của .de
  • Phần ủy quyền nic.de bao gồm các máy chủ tên ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net, và DS=26155/SHA-256 được xác minh bằng DNSKEY=32911 của .de
  • Bản ghi A của nic.de được xác nhận là 81.91.170.12 từ mọi truy vấn đến máy chủ tên có thẩm quyền, và RRSIG=36463 cùng DNSKEY=36463 xác minh RRset tương ứng

Luồng xác minh DNSSEC của nic.de

  • Đối tượng kiểm tra là nic.de, và trên màn hình DNSSEC Debugger có mục điều chỉnh Detail với more(+)less(-)
  • Thời điểm hiển thị là 2026-05-06 00:38:26 UTC
  • Trạng thái DNSSEC của nic.de cũng có thể được kiểm tra tại dnsviz.net

Chuỗi tin cậy từ root đến .de

  • Xác minh DNSKEY của vùng root

    • DS=20326/SHA-256DS=38696/SHA-256 của root (.) được đưa vào chuỗi tin cậy
    • Truy vấn ./DNSKEY tới j.root-servers.net nhận được phản hồi 1139 byte từ 192.58.128.30, và mã phản hồi là NOERROR
    • Xác nhận có 3 bản ghi DNSKEY trong vùng root
      • DNSKEY keytag 54393, cờ 256, thuật toán 8
      • DNSKEY keytag 20326, cờ 257, thuật toán 8
      • DNSKEY keytag 38696, cờ 257, thuật toán 8
    • DNSKEY=20326/SEPDNSKEY=38696/SEP được đưa vào chuỗi tin cậy, và lần lượt được xác minh bằng DS=20326/SHA-256, DS=38696/SHA-256
    • DNSKEY RRset của root có 1 RRSIG, và RRSIG=20326 cùng DNSKEY=20326/SEP xác minh DNSKEY RRset đó
    • DNSKEY=54393 cũng được đưa vào chuỗi tin cậy

  • Xác nhận ủy quyền từ root đến .de

    • Truy vấn nic.de/A tới k.root-servers.net nhận được phản hồi 742 byte từ 193.0.14.129, phần answer trống và thông tin ủy quyền .de nằm trong phần authority
    • Các máy chủ tên của .de được trả về là a.nic.de, f.nic.de, l.de.net, n.de.net, s.de.net, z.nic.de
    • Bản ghi DS của .de được trả về với keytag 26755, thuật toán 8, digest type 2, SHA-256 digest f341357809a5954311ccb82ade114c6c1d724a75c0395137aa3978035425e78d
    • DS RRset của .de có chứa RRSIG, và bên ký là DNSKEY=54393 của root
    • Phần additional bao gồm địa chỉ IPv4/IPv6 của các máy chủ tên .de
      • a.nic.de: 194.0.0.53, 2001:678:2::53
      • f.nic.de: 81.91.164.5, 2a02:568:0:2::53
      • z.nic.de: 194.246.96.1, 2a02:568:fe02::de
      • l.de.net: 77.67.63.105, 2001:668:1f:11::105
      • n.de.net: 194.146.107.6, 2001:67c:1011:1::53
      • s.de.net: 195.243.137.26, 2003:8:14::53

  • Xác minh .de DS RRset

    • Truy vấn de/DS tới b.root-servers.net nhận được phản hồi 366 byte từ 170.247.170.2, và mã phản hồi là NOERROR
    • Xác nhận có 1 bản ghi DS cho .de trong vùng root
    • DS=26755/SHA-256 sử dụng thuật toán RSASHA256
    • .de DS RRset có 1 RRSIG, và RRSIG=54393 cùng DNSKEY=54393 xác minh DS RRset đó
    • DS=26755/SHA-256 được đưa vào chuỗi tin cậy

  • Xác minh .de DNSKEY RRset

    • Truy vấn de/DNSKEY tới f.nic.de nhận được phản hồi 745 byte từ 81.91.164.5, và mã phản hồi là NOERROR
    • Xác nhận có 2 bản ghi DNSKEY trong .de
      • DNSKEY keytag 32911, cờ 256, thuật toán 8, TTL 3600
      • DNSKEY keytag 26755, cờ 257, thuật toán 8, TTL 3600
    • DNSKEY=26755/SEP được đưa vào chuỗi tin cậy, và DS=26755/SHA-256 xác minh DNSKEY=26755/SEP
    • .de DNSKEY RRset có 1 RRSIG, và RRSIG=26755 cùng DNSKEY=26755/SEP xác minh RRset đó
    • DNSKEY=32911 được đưa vào chuỗi tin cậy

Ủy quyền từ .de đến nic.de và xác minh DS

  • Xác nhận vùng con nic.de

    • Truy vấn nic.de/A tới l.de.net nhận được phản hồi 464 byte từ 77.67.63.105, phần answer trống và thông tin ủy quyền nic.de nằm trong phần authority
    • Các máy chủ tên của nic.de được trả về là ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net
    • Bản ghi DS của nic.de được trả về với keytag 26155, thuật toán 8, digest type 2, SHA-256 digest 2f06c8cdf8673a2e98d72c8b7ab6067d9318458b3d9edccde1c5ef793c0c565d
    • nic.de DS RRset có chứa RRSIG, và bên ký là DNSKEY=32911 của .de
    • Phần additional bao gồm một số địa chỉ máy chủ tên của nic.de
      • ns1.denic.de: 77.67.63.106, 2001:668:1f:11::106
      • ns2.denic.de: 81.91.164.6, 2a02:568:0:2::54
      • ns3.denic.de: 195.243.137.27, 2003:8:14::106
    • Khi truy vấn nic.de/DNSKEY tới l.de.net, cùng thông tin ủy quyền, DS, RRSIG và địa chỉ additional của nic.de cũng được trả về, xác nhận vùng con nic.de

  • Xác minh nic.de DS RRset

    • Truy vấn nic.de/DS tới a.nic.de nhận được phản hồi 245 byte từ 194.0.0.53, và mã phản hồi là NOERROR
    • Xác nhận có 1 bản ghi DS cho nic.de trong zone de
    • DS được xác nhận có keytag 26155, thuật toán 8, digest type 2, và được hiển thị là dựa trên SHA-256
    • DS RRset có 1 RRSIG, và RRSIG=32911 cùng DNSKEY=32911 xác minh DS RRset
    • DS=26155/SHA-256 được đưa vào chuỗi tin cậy
nic.de. 86400 IN DS (
  26155 8 2 2f06c8cdf8673a2e98d72c8b7ab6067d9318458b3d9edccde1c5ef793c0c565d
)

Xác minh DNSKEY và bản ghi của nic.de

  • Xác minh nic.de DNSKEY

    • Truy vấn nic.de/DNSKEY tới ns4.denic.net nhận được phản hồi 625 byte từ 194.246.96.28, và mã phản hồi là NOERROR
    • Xác nhận có 2 bản ghi DNSKEY trong nic.de
    • keytag 26155 là DNSKEY ở định dạng 257 3 8, và DNSKEY=26155/SEP được đưa vào chuỗi tin cậy
    • DS=26155/SHA-256 xác minh DNSKEY=26155/SEP
    • DNSKEY RRset có 1 RRSIG, và RRSIG=26155 cùng DNSKEY=26155/SEP xác minh DNSKEY RRset
    • DNSKEY=36463 cũng được đưa vào chuỗi tin cậy
nic.de. 3600 IN DNSKEY (
  257 3 8 AwEAAb/xrM2MD+xm84YNYby6TxkMaC6PtzF2bB9WBB7ux7iqzhViob4GKvQ6L7CkXjyAxfKbTzrd
  vXoAPpsAPW4pkThReDAVp3QxvUKrkBM8/uWRF3wpaUoPsAHm1dbcL9aiW3lqlLMZjDEwDfU6lxLc
  Pg9d14fq4dc44FvPx6aYcymkgJoYvR6P1wECpxqlEAR2K1cvMtqCqvVESBQV/EUtWiALNuwR2Pbh
  wtBWJd+e8BdFI7OLkit4uYYux6Yu35uyGQ==
) ; keytag 26155

nic.de. 3600 IN DNSKEY (
  256 3 8 AwEAAdkJ06nJ8Cutng7f9HACMUhuYnF0CX7uCZ06CyauTxQIpOQpQBKI03/EPn8fI518pvOqxAO7
  XWaGsSovRyI3UPd963JZpYrEOcVDFPA2Qrz5eFj8MIBKH6HcQGnum0UFxmIRVaKT5K5WM+xeUeP5
  Xr4P54Jkyo18rz0LwzDp9gjj
) ; keytag 36463

  • Xác minh bản ghi A và chữ ký của nic.de

    • Các truy vấn nic.de/A tới ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net đều trả về NOERROR
    • Nguồn phản hồi theo từng máy chủ tên là ns1.denic.de từ 77.67.63.106, ns2.denic.de từ 81.91.164.6, ns3.denic.de từ 195.243.137.27, ns4.denic.net từ 194.246.96.28
    • Trong mọi truy vấn A, giá trị bản ghi A của nic.de được xác nhận là 81.91.170.12
    • Mỗi phản hồi đều bao gồm RRSIG được zone nic.de ký, và xác nhận có 1 RRSIG trong A RRset
    • RRSIG=36463 cùng DNSKEY=36463 xác minh A RRset
nic.de. 3600 IN A 81.91.170.12

nic.de. 3600 IN RRSIG (
  A 8 2 3600 20260519222346 20260505205346 36463 nic.de.
  VIyuPDO6Bf029ILioOvWPhkPmQctDIepz+bK/7s7GS1hHEIZrs/9pDGblfW19sjmVpJGIslYmiGh
  QUDTgJcv8lcWqrfUK3pTv9QxmYRDOMM/zTZz50hqfcNkvzL7dg/7A/yPoPk3aTMXH3pFNY0N2RnU
  t8THHOfUcu3w19fma4w=
)

  • Máy chủ tên có thẩm quyền và phản hồi SOA

    • Các phản hồi bao gồm các máy chủ tên có thẩm quyền của nic.de: ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net
    • Đã truy vấn nic.de/SOA tới ns3.denic.de, ns4.denic.net, ns2.denic.de, và tất cả đều trả về phản hồi 507 byte cùng NOERROR
    • Bản ghi SOA hiển thị ns1.denic.de. là máy chủ tên chính và dns-operations.denic.de. là người phụ trách
    • Giá trị SOA đều giống nhau với serial 1778019826, refresh 10800, retry 1800, expire 3600000, minimum 1800
    • Phản hồi SOA cũng bao gồm RRSIG, và bên ký được hiển thị là 36463 nic.de.
nic.de. 3600 IN SOA (
  ns1.denic.de. dns-operations.denic.de.
  1778019826 ;serial
  10800 ;refresh
  1800 ;retry
  3600000 ;expire
  1800 ;minimum
)

Bài viết liên quan

1 bình luận

 
GN⁺ 1 giờ trước
Ý kiến trên Hacker News

  • Có vẻ là sự cố DNSSEC chứ không phải lỗi nameserver. Các resolver có bật xác thực đang trả về SERVFAIL kèm EDE cho mọi tên miền .de
    dig +cd amazon.de @8.8.8.8dig amazon.de @a.nic.de vẫn hoạt động, nên dữ liệu zone có vẻ còn nguyên vẹn. DENIC đã phát tán RRSIG của bản ghi NSEC3 không thể được xác thực bằng ZSK 33834, vì thế mọi resolver xác thực đều từ chối phản hồi
    Việc thỉnh thoảng vẫn truy cập được cũng khớp với anycast. Có vẻ một số instance của [a-n].nic.de vẫn còn phát chữ ký cũ hợp lệ, nên khi thử lại đôi lúc sẽ chạm vào authoritative server bình thường. Theo FAQ của DENIC, ZSK của .de được xoay vòng theo kiểu công bố trước mỗi 5 tuần, nên khá giống một vụ thất bại rollover

    • Chỉ một lỗi cấu hình ở một chỗ mà khả năng truy cập từ bên ngoài của một nền kinh tế lớn đã bị thổi bay. Sự cố xảy ra vào buổi tối theo giờ địa phương, và ngay cả khi tính đến TTL cache thì chắc cũng có thể sửa trước sáng, nên phạm vi thiệt hại có lẽ phần nào bị giới hạn
      Dù vậy, hạ tầng mong manh ở mức này là một rủi ro chính trị. Đặc tính nổi tiếng của Internet là “định tuyến vòng qua nơi bị hỏng” nhưng trong trường hợp này lại không phát huy tác dụng. Có lẽ sẽ có một bản phân tích hậu sự cố khá thú vị
    • Tôi làm IT 20 năm rồi mà ngoài DNSSEC ra chẳng hiểu nổi một chữ viết tắt nào ở đây

  • Có vẻ đội DENIC đang ở tiệc tối nay. Vui thì vui nhưng lẽ ra không nên quá chén
    https://bsky.app/profile/denic.de/post/3ml4r2lvcjg2h

    • Một bus factor khá thú vị: trong tình huống khẩn cấp, tất cả những người có đủ năng lực, kinh nghiệm và độ tin cậy để commit thay đổi vận hành, hoặc hoàn tác một đợt bảo trì bị làm hỏng, hay thực hiện rollback, lại đều không hoàn toàn tỉnh táo

  • Tôi chưa từng dùng DNSSEC cũng chưa cố triển khai nó, nhưng nếu tôi hiểu đúng thì chẳng phải đây là việc chồng thêm một tầng chứng chỉ có điểm lỗi đơn lên trên DNS vốn dĩ được phi tập trung sao? Và giờ sự cố của tổ chức trung tâm quản lý chứng chỉ đó đang khiến gần như mọi domain cùng hỏng?

    • Tên miền cấp cao nhất .de về bản chất vẫn do một tổ chức duy nhất quản lý, và ngay cả khi nameserver của họ sập thì tình hình cũng không khá hơn nhiều. Một số bản ghi có thể còn nằm trong cache của resolver phía dưới, nhưng không phải tất cả và cũng không tồn tại được lâu
      DNSSEC thực ra còn làm DNS phi tập trung hơn. Nếu không có DNSSEC, để đảm bảo một câu trả lời là đáng tin thì bạn phải hỏi trực tiếp authoritative nameserver. Còn với DNSSEC, bạn có thể truy vấn resolver cache của bên thứ ba mà vẫn tin được, vì chỉ phản hồi hợp lệ mới có chữ ký đúng
      Tương tự, nếu không có DNSSEC thì chủ sở hữu domain phải tuyệt đối tin tưởng authoritative nameserver, vì các server đó có thể rất dễ giả mạo kết quả được xem là đáng tin. Với DNSSEC, bạn cần tin authoritative nameserver ít hơn nhiều [0], nên có thể lưu trữ một phần ở bên thứ ba một cách an toàn
      [0]: https://news.ycombinator.com/item?id=47409728
    • DNSSEC không thay đổi mức độ phi tập trung của DNS. DNS vốn dĩ là một cấu trúc phân cấp. Nếu không có cache, mọi truy vấn DNS đều bắt đầu từ truy vấn tới root DNS server
      Với foo.com hay foo.de, trước tiên bạn hỏi root server để biết nameserver phụ trách .com.de, rồi sau đó hỏi server .com hoặc .de để lấy nameserver của foo.comfoo.de. Những gì DNSSEC làm chỉ là gắn chữ ký vào các phản hồi này và thêm public key để có thể xác thực phản hồi ở bước tiếp theo
      Danh sách IP của root nameserver được tích hợp trong mọi local recursive DNS resolver. Danh sách này thay đổi rất chậm qua nhiều năm. Với DNSSEC, danh sách đó còn bao gồm cả public key của các root server, và chúng cũng được xoay vòng chậm
    • Những gì đang thấy bây giờ chính là phi tập trung đang hoạt động. Vấn đề nằm ở nhà vận hành tên miền cấp cao nhất .de, nên chỉ TLD đó bị ảnh hưởng
      DNS không được phi tập trung theo kiểu nhiều tổ chức cùng vận hành hạ tầng của một TLD. Một TLD luôn do một chủ thể duy nhất vận hành. .com.net do Verisign vận hành
      Vì thế, sự cố ở nhà vận hành không làm thay đổi phạm vi ảnh hưởng

  • Cloudflare hiện đã tắt xác thực DNSSEC trên resolver 1.1.1.1: https://www.cloudflarestatus.com/incidents/vjrk8c8w37lz

    • Đến mức này thì có lẽ coi như DNSSEC đã hết thời
    • Nếu sau này hóa ra sự cố DNSSEC là do tác nhân đe dọa gây ra, thì đây có thể chính là tác động bậc hai mà họ nhắm tới

  • Để lại ở đây bài viết kinh điển của Thomas Ptacek về DNSSEC
    https://sockpuppet.org/blog/2015/01/15/against-dnssec/

  • Điên thật. Tôi còn không nhớ trước đây đã từng có tai nạn kiểu này chưa mà đến giờ vẫn chưa sửa xong à? Xét về mặt kinh tế, .de có lẽ là domain không hạn chế quan trọng thứ hai sau .com. Tức là hàng triệu doanh nghiệp coi như đang “down”

  • Đúng vậy, mọi domain .de đều bị sập vì lỗi DNSSEC của DENIC
    https://dnsviz.net/d/de/dnssec/

  • Có vẻ tôi đến quá sớm. Vẫn chưa thấy một bài diễn văn dài dòng nào của tptacek về DNSSEC trong thread này

    • Tôi còn cần dài dòng gì nữa? Thỉnh thoảng thế giới tự nói hộ rồi
    • Chẳng phải chính sự kiện này đã tự nói lên tất cả sao?

  • Dịch vụ và ứng dụng của tôi hoàn toàn không kết nối được tới domain của mình nên tôi stress kinh khủng. Chỉ hoạt động khi dùng dữ liệu di động, may mà lần này không phải lỗi của tôi

    • Nhưng dù sao chúng ta là người Đức, nên vẫn cần có ai đó để đổ lỗi

  • Trên https://status.denic.de/ giờ DNS Nameservice được hiển thị là “Partial Service Disruption”
    Sửa: giờ đã đổi thành “Service Disruption”

    • Toàn bộ website của nền kinh tế lớn thứ ba thế giới đều sập mà vẫn gọi là sự cố dịch vụ “một phần” :D
    • Cả nước Đức offline mà DENIC vẫn ghi là “Partial Service Disruption”. Cách diễn đạt đúng là độc đáo
    • Giờ nó hiện “Server Not Found” rồi
    • “All Systems Operational”