Когда рухнула инфраструктура реестра: уроки от сбоя .de

В мае немецкий интернет дал сбой. Amazon.de не грузился. Сервисы Deutsche Telekom пропали. DHL, Bahn, Spiegel — всё то же самое. Серверы хостинга работали нормально. Домены были зарегистрированы. DNS-записи указывали куда надо. Все дашборды мониторинга светились зелёным. А пользователи получали таймауты подключения.

Проблема скрывалась в другом месте.

Сбой на уровне реестра

Проблемы с реестром — это как трещина в фундаменте дома. Краска не поможет. DENIC, реестр .de, только что запустил третью версию инфраструктуры для зоны .de. Код новый. Аудиты безопасности прошли. Всё проверили. 5 мая запустили ротацию ключей — и начался хаос.

Суть в криптографии. Новая система должна была создать один ключ подписи для DNSSEC. Его бы раздали на три устройства. DNSSEC проверяет DNS-ответы криптографически. Чтобы убедиться: вы общаетесь с настоящим доменом, а не с подделкой.

Но код сгенерировал три разных ключа. Один опубликовали. Другие два продолжали подписывать. Они не совпадали с опубликованным. Итог: две трети подписей .de стали недействительными. Резолверы вроде 8.8.8.8 от Google, 1.1.1.1 от Cloudflare и Quad9 отвергли ответы. Пользователи увидели ошибки.

Парадокс мониторинга

DENIC заметил проблему сразу. Три системы валидации сработали за минуты. Но реакции не последовало. Прошло три часа. И не DENIC починил первым.

Автоматический мониторинг без быстрого реагирования — пустая формальность. Дашборды зелёные, пока не станет поздно. Миллионы пользователей страдают, а вы теряете три часа.

Почему сбой был неравномерным

Не все пострадали одинаково. Кому-то интернет умер полностью, кому-то — нет. Всё решал DNS-резолвер.

Современные резолверы — 1.1.1.1 от Cloudflare, Public DNS от Google — проверяют DNSSEC строго. Они блокируют неверные подписи. Старые резолверы от ISP часто игнорируют DNSSEC. Они выдают ответы в любом случае. Бабушкин интернет работал, а стартап падал — из-за настроек резолвера.

Это показывает проблему: безопасность работает, только если её поддерживает вся экосистема. Иначе она усиливает сбои.

Урок для DNSSEC

В .de DNSSEC используют на 3,6% доменов — около 645 тысяч из 17,9 миллиона. Низкий уровень ограничил ущерб. Пострадали крупные сайты с DNSSEC и строгим резолвером. Маленькие работали.

Но правда в том: чем больше DNSSEC, тем больнее такие инциденты. Переход на безопасность стоит нервов.

Что это значит для ваших доменов

Для важных доменов пересмотрите подход к DNS:

Разнообразьте резолверы. Не ставьте всё на один. Используйте несколько. Следите, какой реально работает. Некоторые приложения переключаются автоматически.

Изучите процессы реестра. У ccTLD разные процедуры мониторинга и эскалации. Знайте, кто за что отвечает в вашем домене. DENIC дал прозрачный отчёт, но задержка с алертами выявила дыру.

DNSSEC нужен, но проверяйте реализацию. Сбой случился из-за DNSSEC — из-за ошибки с ключами. Не отказывайтесь. Требуйте тесты, валидацию и быстрый отклик от реестра.

Мониторьте нужные уровни. Зелёный дашборд хостинга бесполезен при сбое реестра. Добавьте проверки реестра. Сервисы вроде Cloudflare предупредят заранее.

Роль Cloudflare

Cloudflare починил первым. Их 1.1.1.1 пострадал сразу. Глобальная сеть nameservers помогла изолировать проблему. Они видят сбои в масштабе.

Выбор DNS-провайдера — не только "работает ли". Хороший видит проблемы по всей сети и находит их быстрее.

Что исправили

DENIC обновил ротацию ключей. Улучшили эскалацию алертов. Инфраструктуру не меняли — отладили. Починили код. Мониторинг теперь реально запускает отклик.

Простые вещи: тесты, алерты, документация. Не гламурно, но надёжно.

Главный вывод

Инфраструктура реестра — слепое пятно для владельцев доменов. Регистратор и ccTLD всё берут на себя. Вы занимаетесь записями и хостингом.

Но границы ролей размыты. Когда они ломаются, нужна видимость: здоровье регистрара, резолверов, отклик реестра. Сбой .de показал: DNS-безопасность нельзя полностью делегировать. Понимайте, что ниже вашего слоя, даже если им управляют другие.

Урок 5 мая: самые опасные сбои — в чужих руках. Поэтому изучайте их сами.