Когато DNSSEC се обърка: Уроците от фърловете с .de домейните
Когато DNSSEC ъпдейтите се объркат: Уроци от прекъсването на .de домейните
Ако някога си ъпдейтил критична инфраструктура посред нощ, знаеш какво е да те удари неочакваното. Точно това се случи на германския .de registry на 5 май 2026 г.
За около три часа хиляди сайтове с .de домейни изчезнаха от мрежата. Не защото домейните са изпарени, а защото DNSSEC – защитата, която трябваше да ги пази – ги срина.
Идеална буря: Технология плюс човешка грешка
.de registry работеше месеци върху трето поколение DNSSEC signing система. Тестовете минаха. Аудитите са чисти. Всичко изглеждаше перфектно.
После нещо се обърка: новата система генерира три различни крипто ключови двойки вместо една и публикува само една публично. Този разход между подписването и очакваното доведе до верижна реакция.
Технически погледнато, DNSSEC разчита на "key tags" – пръстови отпечатъци на публичните ключове. Системата даде на всичките три ключове един и същ таг (33834). Резолвърите, които проверяват подписите, се препънаха – две трети от тях отхвърлиха всичко.
Плюс, signing системата прегенерира SOA записа при всяка промяна в зоната. Някои ъпдейти минаваха, други не – пълен хаос, който никой не е виждал преди.
Защо системите за откриване не помогнаха?
Ето неудобната истина: помогнаха. .de има три независими инструмента за проверка на аномалии. Всички ги хванаха и сигнализираха.
Но никой не реагира.
Алертите са логнати, но се загубили в шума на мониторинга. Това не е технически фейл – чисто процесна грешка. Може да ни сполети всеки с критична инфраструктура.
Мониторингът ти е толкова добър, колкото реакцията ти. Автоматика без ясни ескалации е просто шум.
Ланецът от грешки: Защо и без DNSSEC домейните паднаха
Това, което направи кризата толкова тежка, е че DNSSEC не защитава само подписаните домейни. Чрез NSEC3 записите той доказва и липсата на подписи за неподписаните.
Когато .de публикува невалидни NSEC3 подписи, резолвърите отхвърлиха цялата делегация за вторични домейни – дори тези без DNSSEC. Ако имаш example.de без защита, пак си офлайн, защото основата за твоя nameserver е "bogus".
Това е сложна DNS логика, която рядко се сетиш, докато не гръмне.
Човешкото спасение
Има и добра страна: големи резолвър оператори временно изключиха DNSSEC валидацията за .de. Потребителите стигнаха до сайтовете си. Registry им благодари публично.
Интернетът работи така – при катастрофа опитните знаят кога да отпуснат стегата. Но показва колко важни са DNS експертите, които разбират компромисите под напрежение.
Уроци за нас
За DevOps и разработчици, ето какво да вземем:
Тестовете не хващат всичко. Аудитиран код с пълни тестове падна в продакшън. Генерирането на множество ключове мина покрай всичко.
Алертите без действие са представления. Три системи работиха идеално, но липсваше реакция.
Разбери зависимостите. Неподписаните домейни пострадали показва колко е свързано DNSSEC.
Паралелно тестване не стига. .de пусна новото до старото, но продакшънът разкри бъгове.
Документирай отговора на кризи. Големите оператори знаеха какво да правят. Ти имаш ли план за DNS аварии?
Какво следва?
.de обещава детайлен анализ. Очакваме по-строги тестове за DNSSEC, по-добри ескалации и промени в зонните записи.
Ако ползваш NameOcean или свой DNS, помни:
- Избирай доставчици с солиден мониторинг и реакции
- Разбери DNSSEC преди да го пуснеш
- Поддържай връзки с DNS профи
- Свържи мониторинга директно с on-call екип
Доброто? След три часа .de се върна. Инфраструктурата издържа. А ние научихме как се сриват и възстановяват основите на мрежата.
Стойностно е.
Падали ли са DNS на твоята инфраструктура? Какво научи? Сподели – тези истории ни правят всички по-стабилни.