Когато инфраструктурата на регистра .de се срине: Какво се случи и какво научихме

Миналата май немският интернет утихна. Amazon.de изчезна. Сайтовете на Deutsche Telekom, DHL, Bahn и Spiegel станаха недостъпни. Сървърите работеха нормално. Domain-ите бяха регистрирани. DNS записите сочеха правилно. Всички монитори показваха зелено, но потребителите виждаха само грешки при свързване.

Проблемът се криеше на място, което никой не проверяваше.

Невидимата основа, която се счупи

Грешките на ниво registry са като пукнатина в фундамента – не се поправят с козметика. DENIC, който управлява .de зоната, току-що пусна нова, трето поколение инфраструктура. Кодът мина аудити за сигурност. Всичко изглеждаше готово. На 5 май дойде редовната ротация на ключовете – и всичко се обърка.

Техническата част: новата система трябваше да създаде един криптографски ключ за подписване, разпределен по три специални устройства. Стандартен подход за DNSSEC, който потвърждава автентичността на DNS отговорите и те предпазва от фалшиви сайтове.

Но кодът генерира три различни ключа. Един се публикува. Другите два продължиха да подписват, без да съвпадат. Резултат: около две трети от .de DNSSEC подписите станаха невалидни. Резолвъри като 8.8.8.8 на Google, 1.1.1.1 на Cloudflare и Quad9 ги отхвърлиха веднага.

Парадоксът с мониторинга

DENIC откри проблема бързо. Три системи за проверка го сигнализираха в минути. Но... нищо не се случи. Алертите останаха игнорирани. Минаха три часа, преди да се оправи – и не DENIC го направи първи.

Това е ключов урок: мониторинг без бърза реакция е само фасада. Зеленият дашборд те успокоява, докато внезапно всичко рухне. Тогава имаш милиони засегнати и закъснение в реакцията.

Защо повредата не беше еднаква (и защо това е проблем)

Не всички усещаха срива по един начин. Някои виждаха пълен блъф. Други – нищо. Разликата? Кой DNS резолвър ползваш.

Съвременните като 1.1.1.1 и 8.8.8.8 проверяват DNSSEC строго и отхвърлят грешни подписи. Старите ISP резолвъри? Много не го правят. Те връщат отговори, независимо от криптографията. Бабите ти може да са ползвали интернет, докато твоят стартъп се е сринал – само заради настройките.

Това показва проблема: сигурността работи, ако всички я приемат. Иначе усилва сривовете.

Урокът за DNS сигурността

Само 3,6% от .de domain-ите ползват DNSSEC – около 645 000 от 17,9 милиона. Ниското ниво ограничи щетите до големите сайтове с DNSSEC и строги резолвъри. Малките продължиха да работят.

Но истината е тревожна: колкото повече DNSSEC, толкова по-големи са сривовете. Преходът към сигурност носи рискове.

Какво значи това за твоите domain-и

Ако управляваш критични сайтове, промени подхода си към DNS:

Разнообрази резолвърите. Не разчитай на един. Тествай няколко и следи кой ползваш. Някои апликации превключват автоматично.

Познавай реакцията на registry-то. Не всички ccTLD-и реагират еднакво. Ако си в .de или подобен, разбери процедурите им. DENIC публикува анализ, но закъснението разкри слабост.

DNSSEC е ключов – но тествай го. Сривът дойде заради грешка в ключовете. Не го пропускай, а искай тестове и бърза реакция от registry.

Следи на правилните нива. Зеленият дашборд на хостинга не значи нищо, ако registry-то фали. Интегрирай проверки за registry ниво. Cloudflare дава ранни сигнали.

Защо Cloudflare реагира първи

Cloudflare's 1.1.1.1 усещане удара веднага. С глобална мрежа те го изолираха бързо. Виждат проблеми на мащаб, който другите не могат.

Затова изборът на DNS доставчик отива отвъд "ще работи ли?". Добрият вижда и решава проблеми, които един сам не би забелязал.

Какво се промени

DENIC ъпдейтна процедурата за ротация на ключове и подобри алертите. Инфраструктурата не я смениха – поправиха кода. Мониторингът сега задейства реакция.

Обикновени промени: по-добро тестване, сигнали и документация. Не е вълнуващо, но спира следващия срив.

Главният урок

Инфраструктурата на registry е сляпа зона за повечето. Регистърът и ccTLD го управляват, ти – DNS и хостинг. Всички в своята лента.

Но лентите се пресичат, а крайните им фалират. Тогава трябва визия към всичко: здраве на регистър, резолвъри, реакция на registry. .de ни научи, че не можеш да делегираш цялата DNS сигурност. Разбери какво се случва под твоя слой, дори ако друг го управлява.

Това е истинският урок от 5 май: най-критичните сривове са в слоеве извън контрола ти – затова трябва да ги контролираш с поглед.