DNSSEC-frissítés katasztrófa: Mit tanultunk a .de leállásból?
Amikor a DNSSEC-frissítés katasztrófává fajul: Tanulságok a .de leállásból
Képzeld el: éjszaka vágsz bele egy infrastruktúra-frissítésbe, minden teszt tökéletesen működik, aztán hirtelen összeomlik minden. Pont ez történt a német .de domain regisztrátorral 2026. május 5-én.
Három órán át ezrek nem értek el .de-s weboldalakat. Nem tűntek el a domainek, hanem a védelmükre szolgáló DNSSEC éppen az törte össze őket.
A technika és a folyamatok találkozása
A .de regisztrátor hónapokig épített egy új, harmadik generációs DNSSEC-aláíró rendszert. Tesztelték, auditálták, látszólag tökéletes volt.
Aztán jött a váratlan: a rendszer három különböző kulcspárt generált egyetlen helyett, de csak egyet tett közzé nyilvánosan. Ez a hiba láncreakciót indított el.
Technikailag izgalmas rész: a DNSSEC kulcscímkéket használ, ami a publikus kulcs ujjlenyomata. Mindhárom kulcs ugyanazt a címkét (33834) kapta. A validáló resolverek kétharmada bukott meg, mert a aláírási privát kulcs nem egyezett a közzétett publikus kulccsal.
A probléma továbbterjedt. Minden zónaváltoztatásnál újrastruktúrázták az SOA rekordot, így egyes frissítések mentek, mások nem – kaotikus állapotot okozva.
Miért nem kapta el a hibafigyelés?
Kellemetlen igazság: elkapta. Három független eszköz jelezte a hibát.
Csakhogy senki sem reagált.
A riasztások létrejöttek, naplózva lettek, de elvesztek a napi zajban. Ez nem technikai, hanem folyamathiba. Bármelyik nagy rendszert működtető cégnél előfordulhat.
Tanulság: a monitoring csak addig jó, amíg van rá gyors, felelősségteljes válaszlépés.
Hogyan omlott össze minden aláíratlan domain is?
A katasztrófa csúcsa: a DNSSEC nem csak az aláírt domaineket védi. Az NSEC3 rekordokkal bizonyítja, hogy hol nincs aláírás.
A hibás NSEC3 aláírások miatt a resolverek eldobták az egész .de delegációt – még az aláíratlan domainekét is. Ha example.de-d volt DNSSEC nélkül, az is elérhetetlenné vált, mert a nameserver-delegáció "bogusnak" minősült.
Ez olyan finom biztonsági részlet, amit kevesen értenek addig, amíg be nem következik.
Az emberi megoldás
Pozitívum: nagy resolver üzemeltetők kikapcsolták átmenetileg a .de DNSSEC-ellenőrzését, így újra elérhetővé váltak az oldalak. A regisztrátor köszönetet mondott nekik.
Így működik a jól épített internet: krízisben a tapasztalt szakemberek lazítanak a szabályokon, hogy a szolgáltatás éljen tovább.
Mire figyeljünk?
Fejlesztőknek és DevOps-osoknak itt a legfontosabb leckék:
A tesztek nem fednek le mindent. Auditált, alaposan tesztelt kód is bukhat élesben. A több kulcspár hibát nem vette észre semmi előzetes ellenőrzés.
Riasztás nélkülözhetetlen válasz. Három rendszer működött, de alert nélkül értéktelen.
Ismerd a láncot. Aláíratlan domainek bukása mutatja, mennyire összefügg a DNS-biztonság.
Párhuzamos futtatás nem elég. A .de tesztüzemben ment mellette az éles, mégis előbújt a hiba.
Írd le a kríziskezelést. A resolverek tudták, mit kell tenni. Nálad megvan a protokoll?
Mi jön még?
A .de regisztrátor ígéri, mélyebb elemzést hoz. Várhatóan szigorúbb teszteket, jobb riasztási folyamatokat és TLD-zóna változtatásokat.
NameOcean infrastruktúrán vagy saját DNS-en üzemeltetőknek ez megerősítés:
- Válassz robusztus monitoringgal rendelkező szolgáltatót
- Értsd meg a DNSSEC következményeit bekapcsolás előtt
- Tarts kapcsolatot tapasztalt DNS-szakértőkkel
- Kösd össze a monitoringot az ügyeletes csapattal
Jó hír: három óra után minden visszaállt. Az infrastruktúra kitartott, a közösség pedig okosabb lett.
Ez megéri a leállást.
Tapasztaltál már DNS-leállást? Mit tanultál belőle? Oszd meg – együtt építünk ellenállóbb rendszereket.