配置失误 德国顶级域名.de出现因DNSSEC签名错误导致的大范围中断
2026年05月06日 12:42 次阅读 稿源:蓝点网 条评论
德国国别顶级域名 (ccTLD) 昨天夜里出现大范围长时间中断,此次中断似乎并非 DE 域名的根域名服务器故障,而是该域名采用的 DNSSEC 加密系统签名错误,由于签名本身出现错误随后导致整个 DE 域名空间都瘫痪。
专业人士经过分析后发现这属于 DENIC (负责管理该域名的机构) 低级配置失误,原因是 DENIC 在轮换 ZSK 密钥时发布格式错误的签名,ZSK 指的是空间签名密钥,这个密钥用于 DNSSEC 加密。
由于发布格式错误的签名,所有启用 DNSSEC 加密验证的递归解析器都会返回 SERVFAIL 错误,这导致海量.de 域名无法正常解析,例如电商网站亚马逊德国区 Amazon.de 就无法正常加载。
检测到异常后,负责运营 1.1.1.1 公共 DNS 服务器的 Cloudflare 立即关闭针对 DE 域名的 DNSSEC 验证,因此使用 1.1.1.1 和 1.0.0.1 的用户受到的影响不是特别大,但使用其他公共 DNS 服务器的用户可能就会遇到长时间无法访问的错误。
但 Cloudflare 的做法也引起质疑,即如果真遇到攻击时,这种紧急关闭验证的做法是否也会成为目标 (即利用攻击转移注意力,然后让主流公共 DNS 服务器提供商关闭 DNSSEC,这样黑客再进行其他劫持)。
DNSSEC 本来是为了防止 DNS 欺骗而增加的数字签名层,简单的配置失误就让 DE 域名直接离线,所以也有业内人士感慨互联网的故障转移能力在这里失效,DNSSEC 提升安全性的同时也增加了脆性。
另外负责这个问题的 DENIC 也发布公告承认所有启用 DNSSEC 签名的 DE 域名在可访问性方面受到影响,DENIC 称中断的根本原因还未完全确定,技术团队正在全力分析并尽快恢复稳定运行。
注:截至本文发布时,采用 DNSSEC 加密的 DE 域名已经陆续恢复访问,但因为不同域名设置的 TTL 生存时间不同,部分域名可能还需要等待全球 DNS 刷新过后才能访问。
-对文章打分
配置失误 德国顶级域名.de出现因DNSSEC签名错误导致的大范围中断
1 (50%) 1 (50%)- 登录
[退出]
发布
最新资讯
加载中...编辑精选
加载中...热门评论
相关文章
-
机构称2030年近半数全球智能手机将具备卫星连接能力
- 6 天前
-
IETF收到IPv8协议草案 提供1844亿个IP地址 100%向下兼容IPv4协议
- 2026-4-19 17:53
-
微软等美企施压欧盟 数据中心排放数据被“封存”
- 2026-4-17 20:35
-
蓝色起源本周末将发射“太空基站”火箭 直连手机卫星业务竞争加速升温
- 2026-4-17 20:33
-
28年后IPv6使用率首次突破50% 终于追平IPv4
- 2026-4-17 20:20
Top 10
本周 本月-
1
微信朋友圈悄悄更新了,你发现了吗?
阅读 (1058) 评论 (0) -
2
DeepSeek连夜删掉的新论文到底说了什么
阅读 (837) 评论 (0) -
3
央视揭秘中方为何禁止Meta收购Manus
阅读 (813) 评论 (4) - 4联想抛弃ThinkPad 20年经典设计:取消独立镁合金骨架
- 5演员徐冬冬回应身上标签:可撕可不撕 有角色可演就很知足
- 6蔡康永步步紧逼罗永浩 后者叹气破防 蔡康永:我其实对你很感兴趣
- 7阿联酋宣布退出OPEC及OPEC+
- 8Rufus重大更新:推出全新Windows 11安装方式 可大幅提升电脑性能
- 9一图看懂DeepSeek V4与美国顶级AI差距:落后8个月
- 10微软开源命令行编辑器Edit 2.0发布:支持语法高亮 还不到300KB
-
1
《纽约时报》称已确认比特币发明者中本聪的真实身份
阅读 (5935) 评论 (0) -
2
苹果被曝下调 iPhone 18 规格以压缩成本
阅读 (2748) 评论 (0) -
3
苹果宣布CEO交接 蒂姆·库克发布致全球苹果用户公开信
阅读 (2116) 评论 (1) - 4第一批学AI的大学生,已经笑不出来了
- 5《永劫无间》女解说黑衣黑脸反讽舆论 日本网友狂赞
- 6微软无预警封停 WireGuard 与 VeraCrypt 开发者账号
- 7陈冠希撞脸赵本山 网友感慨颜值断崖式下滑
- 8韩国Naver宣布全面弃用阿里Qwen编码器
- 9Claude复活30年前传奇游戏 仅用一个周末
- 10乒乓球机器人Ace在东京击败顶级选手 创下体育机器人历史第一