Podpora 24/7
FAQ
 Ovládací panel
Zůstatek účtu:    
Když DNSSEC selže: Lekce z výpadku .de domén

Když DNSSEC selže: Lekce z výpadku .de domén

Kvě 08, 2026 dns dnssec infrastructure incident response security domain management outage analysis

Když DNSSEC selže: Lekce z výpadku .de domén

Představte si, že v noci aktualizujete klíčovou infrastrukturu. Všechno testováno, simulováno – a najednou to nefunguje. Přesně to se stalo registru .de 5. května 2026. Tisíce webů s .de doménami byly nedostupné tři hodiny. Nezmizely, jen je DNSSEC, co měl chránit, úplně zlomil.

Kombinace techniky a lidského selhání

Registr .de měl měsíce na přípravu nové třetí generace systému pro podpis DNSSEC. Testy, audity – vypadalo to ideálně.

Pak přišel šok: systém vytvořil tři různé kryptografické klíče místo jednoho. Veřejně zveřejnil jen jeden. Rozdíl mezi podpisem zóny a tím, co resolvery očekávaly, způsobil lavinu problémů.

Technicky zajímavé: DNSSEC používá key tags – otisk veřejného klíče. Všechny tři klíče měly stejný tag (33834). Resolvery ověřovaly podpisy, ale dvě třetiny selhalo – soukromý klíč neseděl s veřejným.

Každá změna zóny přepsala SOA záznam. Některé aktualizace prošly, jiné ne. Výsledek? Chaos, který nikdo nečekal.

Detekce fungovala, reakce ne

Neuvěřitelné, ale detekční systémy to zachytily. Registr má tři nezávislé nástroje na takové anomálie. Všechny hlásily neplatné podpisy.

Jenže nikdo nereagoval.

Alerty se zalogovaly a zanikly v hluku produkčního monitoringu. Tohle není chyba techniky, ale procesu. Stát se to může komukoli s kritickou infrastrukturou.

Monitoring je dobrý jen s jasnými postupy pro reakci. Bez odpovědnosti a eskalace je to jen hluk.

Proč to zasáhlo i nepodpisované domény

Největší škoda? DNSSEC nechrání jen podepsané domény. Dokazuje i absence podpisů přes NSEC3 záznamy u nepodpisovaných.

Neplatné podpisy na NSEC3 zablokovaly delegaci všech .de domén – i těch bez DNSSEC. Pokud máte example.de bez DNSSEC, stejně jste offline. Delegace na váš nameserver byla "bogus".

Tohle je pokročilý bezpečnostní detail, na který většina operátorů DNS myslí až po havárii.

Lidská záchrana

Pozitivum: Velcí resolvery dočasně vypnuli DNSSEC validaci pro .de. Uživatelé se dostali na weby. Registr jim poděkoval.

Internet fungoval, jak má. Zkušení operátoři vědí, kdy uvolnit pravidla a obnovit službu. Ukazuje to, jak jsou důležití experti pod tlakem.

Klíčové lekce pro praxi

Pro vývojáře a DevOps:

  1. Testy nestačí. Audito vaný kód selhal v produkci. Generování více klíčů nikdo neodhalil.

  2. Alerty bez akce jsou zbytek. Tři systémy fungovaly, ale bez rychlé reakce to nic nezmění.

  3. Znalosti závislostí. Nezapomeňte na vliv na nepodpisované domény. Změny v TLD ovlivní všechno.

  4. Paralelní provoz nestačí. Běžel nový systém vedle starého, bugs se stejně ukázaly.

  5. Dokumentujte reakce. Experti věděli, co dělat. Máte postupy pro DNS krize?

Co přijde dál?

Registr slíbí hlubší analýzu. Očekávejte lepší testy pro DNSSEC, jasnější eskalace alertů a změny v generování záznamů TLD.

Pro uživatele NameOcean nebo vlastní DNS to znamená:

  • Vyberte providera s pevným monitoringem a reakcemi
  • Pochopte DNSSEC před zapnutím
  • Budujte kontakty na DNS experty
  • Spojte monitoring přímo s on-call týmem

Dobrá zpráva? Po třech hodinách .de běželo znovu. Systém vydržel. A my máme lekci z selhání základů internetu.

To stojí za tuři hodinu.

Zažili jste výpadek DNS? Co z toho plyne? Sdílejte – společně budeme stavět odolnější systémy.

Read in other languages:

RU BG EL UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN