文章摘要
Verisign实验室的DNSSEC调试工具分析了nic.de域名的DNSSEC安全链,确认两个DS记录(20326/SHA-256和38696/SHA-256)已加入信任链,并通过根服务器g.root-servers.net验证了DNSKEY查询响应。
文章总结
DNSSEC调试报告:nic.de域名分析
概述
Verisign实验室的DNSSEC调试工具对德国国家顶级域名注册机构nic.de进行了DNSSEC验证分析,结果显示在信任链验证过程中存在部分问题。
信任链验证详情
根域名(.)验证
- 成功验证两个DS记录(20326/SHA-256和38696/SHA-256)加入信任链
- 从g.root-servers.net获取3个DNSKEY记录(密钥标签54393、38696和20326)
- 所有RRSIG签名验证通过
de顶级域名验证
- 发现1个DS记录(26755/SHA-256)加入信任链
- 从n.de.net获取3个DNSKEY记录(密钥标签26755、32911和33834)
- DS记录验证通过,但后续签名验证存在问题
nic.de子域名验证
- 发现1个DS记录(26155/SHA-256)
- 尝试从多个名称服务器(ns1.denic.de、ns2.denic.de等)获取DNSKEY记录均失败
- DS记录集的RRSIG签名验证失败(错误代码33834)
- 最终无法获取nic.de的DNSKEY记录集
问题总结
- 无法连接到nic.de的多个名称服务器(ns1-4.denic.de/net)
- DS记录集的RRSIG签名验证失败
- 无法获取nic.de的DNSKEY记录集
建议
- 检查nic.de的名称服务器配置和可达性
- 验证DS记录和RRSIG签名的正确性
- 考虑使用dnsviz.net进行二次验证
技术信息
- 分析时间:2026-05-05 21:25:48 UTC
- 使用工具:Verisign实验室DNSSEC调试器
- 完整报告可访问:原始分析页面
评论总结
以下是评论内容的总结:
主要观点和论据
.de TLD 的 DNS 服务中断
- 多位用户报告.de域名无法访问,尤其是知名网站如Amazon.de和SPIEGEL.de。
- 引用:
- "Whole .de TLD seems to go offline right now due to dnssec or missing nic.de nameservers?" (评论1)
- "Amazon.de, SPIEGEL.de is down. Highly prominent sites unreachable." (评论2)
DNSSEC 问题
- 多数评论认为问题源于DNSSEC验证失败,尤其是签名验证错误。
- 引用:
- "Looks like a DNSSEC issue, not a nameserver outage." (评论4)
- "Yes, all .de domains down because of DNSSEC failure at Denic" (评论7)
部分用户未受影响
- 一些用户报告某些.de域名仍可访问,可能是由于缓存或未使用验证解析器。
- 引用:
- "For me bmw.de works but www.bmw.de not" (评论8)
- "How come I have zero problems with any .de domain I tried accessing?" (评论21)
影响范围和严重性
- 事件影响广泛,尤其是商业网站,但并非所有.de域名都受影响。
- 引用:
- "Millions of businesses are down." (评论29)
- "Wow… it’s definitely not all .de TLDs, but a lot of prominent ones definitely." (评论6)
解决方案和临时措施
- 部分用户提出临时解决方案,如禁用DNSSEC验证。
- 引用:
- "if you add domain-insecure: "de" to your unbound config everything works fine" (评论14)
- "dig +cd amazon.de @8.8.8.8 works, dig amazon.de @a.nic.de works." (评论4)
历史背景和反思
- 用户提到类似事件在2010年发生过,并对DNSSEC的可靠性提出质疑。
- 引用:
- "The last time .de I remember .de had a major outage like this was 2010." (评论20)
- "Systems that become unavailable to everyone fail this requirement." (评论19)
不同观点的平衡性
- 支持DNSSEC问题为主因:评论4、7、12等提供了技术细节。
- 部分用户未受影响:评论8、21等指出并非所有服务中断。
- 对安全措施的反思:评论19批评过度安全措施导致可用性问题。
关键引用(保留中英文)
"Whole .de TLD seems to go offline right now due to dnssec or missing nic.de nameservers?"
“整个.de顶级域名似乎因DNSSEC或nic.de域名服务器缺失而宕机?”"Looks like a DNSSEC issue, not a nameserver outage."
“看起来是DNSSEC问题,而非域名服务器中断。”"For me bmw.de works but www.bmw.de not"
“对我而言,bmw.de可用但www.bmw.de不可用。”"Systems that become unavailable to everyone fail this requirement."
“对所有人不可用的系统无法满足需求。”