Hacker News 中文摘要

RSS订阅

.de顶级域名因DNSSEC问题下线? -- .de TLD offline due to DNSSEC?

文章摘要

Verisign实验室的DNSSEC调试工具分析了nic.de域名的DNSSEC安全链,确认两个DS记录(20326/SHA-256和38696/SHA-256)已加入信任链,并通过根服务器g.root-servers.net验证了DNSKEY查询响应。

文章总结

DNSSEC调试报告:nic.de域名分析

概述

Verisign实验室的DNSSEC调试工具对德国国家顶级域名注册机构nic.de进行了DNSSEC验证分析,结果显示在信任链验证过程中存在部分问题。

信任链验证详情

根域名(.)验证

  • 成功验证两个DS记录(20326/SHA-256和38696/SHA-256)加入信任链
  • 从g.root-servers.net获取3个DNSKEY记录(密钥标签54393、38696和20326)
  • 所有RRSIG签名验证通过

de顶级域名验证

  • 发现1个DS记录(26755/SHA-256)加入信任链
  • 从n.de.net获取3个DNSKEY记录(密钥标签26755、32911和33834)
  • DS记录验证通过,但后续签名验证存在问题

nic.de子域名验证

  • 发现1个DS记录(26155/SHA-256)
  • 尝试从多个名称服务器(ns1.denic.de、ns2.denic.de等)获取DNSKEY记录均失败
  • DS记录集的RRSIG签名验证失败(错误代码33834)
  • 最终无法获取nic.de的DNSKEY记录集

问题总结

  1. 无法连接到nic.de的多个名称服务器(ns1-4.denic.de/net)
  2. DS记录集的RRSIG签名验证失败
  3. 无法获取nic.de的DNSKEY记录集

建议

  • 检查nic.de的名称服务器配置和可达性
  • 验证DS记录和RRSIG签名的正确性
  • 考虑使用dnsviz.net进行二次验证

技术信息

  • 分析时间:2026-05-05 21:25:48 UTC
  • 使用工具:Verisign实验室DNSSEC调试器
  • 完整报告可访问:原始分析页面

评论总结

以下是评论内容的总结:

主要观点和论据

  1. .de TLD 的 DNS 服务中断

    • 多位用户报告.de域名无法访问,尤其是知名网站如Amazon.de和SPIEGEL.de。
    • 引用:
      • "Whole .de TLD seems to go offline right now due to dnssec or missing nic.de nameservers?" (评论1)
      • "Amazon.de, SPIEGEL.de is down. Highly prominent sites unreachable." (评论2)
  2. DNSSEC 问题

    • 多数评论认为问题源于DNSSEC验证失败,尤其是签名验证错误。
    • 引用:
      • "Looks like a DNSSEC issue, not a nameserver outage." (评论4)
      • "Yes, all .de domains down because of DNSSEC failure at Denic" (评论7)
  3. 部分用户未受影响

    • 一些用户报告某些.de域名仍可访问,可能是由于缓存或未使用验证解析器。
    • 引用:
      • "For me bmw.de works but www.bmw.de not" (评论8)
      • "How come I have zero problems with any .de domain I tried accessing?" (评论21)
  4. 影响范围和严重性

    • 事件影响广泛,尤其是商业网站,但并非所有.de域名都受影响。
    • 引用:
      • "Millions of businesses are down." (评论29)
      • "Wow… it’s definitely not all .de TLDs, but a lot of prominent ones definitely." (评论6)
  5. 解决方案和临时措施

    • 部分用户提出临时解决方案,如禁用DNSSEC验证。
    • 引用:
      • "if you add domain-insecure: "de" to your unbound config everything works fine" (评论14)
      • "dig +cd amazon.de @8.8.8.8 works, dig amazon.de @a.nic.de works." (评论4)
  6. 历史背景和反思

    • 用户提到类似事件在2010年发生过,并对DNSSEC的可靠性提出质疑。
    • 引用:
      • "The last time .de I remember .de had a major outage like this was 2010." (评论20)
      • "Systems that become unavailable to everyone fail this requirement." (评论19)

不同观点的平衡性

  • 支持DNSSEC问题为主因:评论4、7、12等提供了技术细节。
  • 部分用户未受影响:评论8、21等指出并非所有服务中断。
  • 对安全措施的反思:评论19批评过度安全措施导致可用性问题。

关键引用(保留中英文)

  1. "Whole .de TLD seems to go offline right now due to dnssec or missing nic.de nameservers?"
    “整个.de顶级域名似乎因DNSSEC或nic.de域名服务器缺失而宕机?”

  2. "Looks like a DNSSEC issue, not a nameserver outage."
    “看起来是DNSSEC问题,而非域名服务器中断。”

  3. "For me bmw.de works but www.bmw.de not"
    “对我而言,bmw.de可用但www.bmw.de不可用。”

  4. "Systems that become unavailable to everyone fail this requirement."
    “对所有人不可用的系统无法满足需求。”