Amikor a registry összeomlik: A .de domain-katasztrófa és a tanulságai

Májusban a német neten káosz tört ki. Az Amazon.de nem töltődött be. A Deutsche Telekom szolgáltatásai eltűntek. A DHL, a Bahn, a Spiegel oldalai elérhetetlenek voltak. A hosting szerverek mentek, a domainek regisztrálva álltak, a DNS rekordok helyesen mutattak. Minden monitor zöldet jelzett, miközben milliók timeout üzenetet kaptak.

A hiba máshol lapult.

A láthatatlan alap, ami megreccsent

A registry hibák olyanok, mint amikor kiderül, hogy a ház alapja megrepedt – festékkel nem lehet megjavítani. A DENIC, a .de registry, éppen átállt egy új, harmadik generációs rendszerre a zóna kezeléséhez. Friss kód, átesett biztonsági ellenőrzéseken, külső validáción. Május 5-én jött a kulcsrotáció, és minden összeomlott.

Technikailag: az új rendszernek egyetlen kriptográfiai aláíró kulcsot kellett volna generálnia, amit három biztonsági eszközre osztanak szét. Ez DNSSEC szabvány, ami ellenőrzi, hogy valóban a igazi domainnel beszélsz, nem támadóval.

Ehelyett három különböző kulcs született. Egyet publikáltak, a többiek kompatibilis aláírásokat nyomtak. Ennek következtében a .de DNSSEC aláírások kétharmada érvénytelen lett. A szigorú resolverek – mint a Google 8.8.8.8, Cloudflare 1.1.1.1 vagy Quad9 – kidobták a válaszokat, hibát jelezve.

A monitorozás csapdája

Frusztráló: a DENIC saját rendszerei azonnal észlelték a hibát. Három validáló eszköz percek alatt riasztott. Aztán... csend. Három óra telt el, mire megoldották, és nem is ők javították ki először.

Ez a kulcsminta: automata monitorozás reakció nélkül csak színjáték. Zöld dashboardok hamis biztonságérzetet adnak. Aztán hirtelen baj van, milliók érintettek, és a válaszidő órákig elhúzódik.

Miért nem egyformán sújtott mindenkit (és miért baj ez)

A kimaradás furcsán egyenlőtlen volt: egyeseknél teljes sötétség, máshol semmi gond. A különbség a DNS resolverben rejlett.

Modern resolverek, mint a Cloudflare 1.1.1.1 vagy Google Public DNS, alapból ellenőrzik a DNSSEC-et, és elutasítják az érvénytelent. Régi ISP resolverek? Sok még mindig nem validál, simán továbbadják a választ. A nagyi netje működhetett, a startup infrastruktúrája viszont kidőlt – csak a resolver beállításától függően.

Ez mutatja a problémát: a biztonsági fejlesztések csak akkor működnek, ha az egész ökoszisztéma felveszi. Ha igen, akkor felerősíthetik a hibákat helyette.

A nagyobb DNSSEC tanulság

A .de domaineknél a DNSSEC aránya 3,6% – kb. 645 ezer a 17,9 millióból. Alacsony szám miatt csak a nagy, jól kezelt oldalak kaptak telibe: azoknak volt DNSSEC-e, és validáló resolverük. Kis site-ok tovább futottak.

De a kényelmetlen igazság: ha nő a DNSSEC (és kell is), ilyen hibák nagyobbakat ütnek. Biztonságot nem lehet fájdalom nélkül ráhúzni a régi infrastruktúrára.

Mit vigyél magaddal a saját domainjeidhez

Kritikus domaineknél ez az eset átalakítja a DNS gondolkodást:

Szórj meg resolvereket. Ne bízz egyetlen nyilvánosban. Használj többet, figyeld, melyiket kérdezed meg. Sok app tud átkapcsolni automatán – használd.

Ismerd a registry válaszmechanizmusát. Nem minden ccTLD egyforma. Ha országos domainben vagy nagy infrastruktúra, tudd, ki mit kezel, hogyan riasztanak. A DENIC elemzése transzparens volt, de a késés gyenge pontot mutatott.

DNSSEC kell, de ellenőrizd a kivitelezést. A .de hiba pont a DNSSEC miatt lett, kulcsgenerálási baki. Ne hagyd ki, hanem követelj alapos tesztet, folyamatos validációt és gyors reagálást a registrytől.

Figyelj a megfelelő rétegeken. Hosting zöld lámpája semmit sem mond, ha a registry döglik. Építsd be a registry monitorozást a saját checkjeidbe. Cloudflare-féle szolgáltatások korábban jelzik, mint a panaszok.

A Cloudflare szerepe

Nem véletlen, hogy ők javították ki először. A 1.1.1.1 resolverük azonnal megsínylette, de globális hálózatukkal gyorsan izolálták. Mély DNS monitorozásuk miatt skálázva látják a hibákat.

Ezért számít a DNS provider választása: jó partner hálózatát használva észreveszi a mások számára láthatatlant.

Mi változott valójában

A DENIC frissítette a kulcsrotációt, javította a riasztáskezelést. Az új infrastruktúrát nem dobták ki, debugolták. A hibás kódot kijavították, a monitorrendszert felturbózták, hogy riasztás tényleg indítson akciót.

Unalmas javítás: jobb teszt, jobb riasztás, jobb dokumentáció. Nem menő, de ez tartja távol a következő háromórás káoszt.

A lényeg

A registry infrastruktúra vakfolt a legtöbb operatornak – láthatatlannak kell lennie. Registrar kezeli, ccTLD registry, te meg a rekordokat meg hostingt. Mindenki a maga sávjában.

De a sávok pereme néha megreccsen. Akkor kell a rétegzett láthatóság: registrar állapot, resolver teljesítmény, registry válasz. A .de eset azt üzeni: a DNS biztonságot nem outsourceolhatod teljesen. Értened kell az app alatti rétegeket, még ha mások üzemeltetik is.

Ez a májusi igazi infrastruktúra-lecke: a legfontosabb hibák ott történnek, ahol nem te irányítasz – épp ezért ismerd meg őket.