DNSSEC yangilanishi qachon ishlamay qoladi: 2026-yil maydagi .DE domensizligi haqida batafsil

DNS internetning telefon kitobi deyiladi. U ishlamay qolguncha hech kim o‘ylamaydi. 2026-yil 5-mayda .DE registratorida 3 soatlik uzilish bo‘ldi. Millionlab nemis domenlari ishlamay qoldi. Sabab – hujum yoki apparat nosozligi emas. Maxfiy DNSSEC imzolash kodidagi kichik xato.

DNSSEC nima va nega muhim?

DNSSEC – DNSni soxtalashtirish va o‘rtaga kirish hujumlaridan himoya qiluvchi shifrlash usuli. Domen so‘ralganda, resolverlar imzoni tekshirib, javobning haqiqiy ekanligini biladi.

.DE kabi TLD registratorlari uchun bu jiddiy ish. 2026-yil aprelida ular uchinchi avlod DNSSEC tizimini ishga tushirdilar. Knot DNS dasturi, o‘ziga xos asboblar va HSMlar ishlatdilar. Millionlab domenlarni boshqarish uchun.

Tizimlar sinovdan o‘tdi. Tashqi firmalar audit qildi. Hammasi joyida ko‘rindi.

Keyin 5-may keldi.

Nima buzdi hammasini?

Oddiy DNSSEC kalit almashish vaqtida imzo yaratish jarayoni buzildi. Bitta Key Tag (33834) uchun bir juft kalit o‘rniga uchta yaratildi. DNSKEY yozuviga faqat bittasi kirdi – resolverlar shuni tekshiradi.

Natijada, uchdan ikki qismi imzo tekshirilmadi.

Bu notariusning uchta muhr bosishi, lekin sudda faqat bittasi ro‘yxatda turishi kabi. Sudya ikkitasini qabul qilmaydi.

Sabab? Maxfiy kod xatosi. Kod ko‘rib chiqildi, sinovlar o‘tkazildi, hatto "sovuq parallel ish" – yangi tizim eskisidan parallel ishlatildi. Lekin bu chegara holat sinovlarda yo‘q edi.

Sifat nazorati qanday o‘tdi?

Eng g‘azablantiruvchisi shu. .DEda uchta alohida tekshiruv vositasi doim ishlaydi. Ular DNSSEC imzo xatolarini ushlaydi.

Ushbu vositalar ishini qildi, muammoni ko‘rsatdi.

Lekin ogohlantirishlar to‘g‘ri ishlanmadi.

Avtomatik tizimlar muammoni real vaqtda topdi, lekin operatorlarga yetib bormadi. Deploy to‘xtatilishi mumkin edi. Bu monitoring va inson javobining uzilishi – millionlab domen egalariga 3 soat zarar.

Zanjir ta’siri

Bu yerda DNS arxitekturasi qiziq. TLD zonalar referral javoblar beradi: "example.de menda emas, mana nameserver". U yerda delegation va NSEC3 yozuvlari bor – boshqa yozuvlar yo‘qligini isbotlaydi.

NSEC3 imzolari buzilganda, resolverlar butun delegationni "Bogus" deb belgiladi. DNSSEC yo‘q domenlar ham ishlamay qoldi – delegation buzilgan.

Domino effekti: yuqoridagi bitta imzo pastdagi minglab domenlarni buzdi.

Cloudflare, Google kabi resolverlar DNSSEC tekshiruvini o‘chirib, foydalanuvchilarni qutqardi. Kichik ISP yoki qattiq resolverlarda .DE domenlari umuman yo‘qoldi.

Sizning infratuzilmangiz uchun saboqlar

Domen registratori boshqarsangiz, katta DNS tizimi yoki .DEga tayansangiz, eshiting:

1. Sinov yetarli emas (lekin zarur) Sanoat standartlari, auditli kod, to‘liq sinovlar bo‘ldi. Xato o‘tdi. Muammo – qamrov yetishmasligi. DNSSEC o‘zgartirganda, sinovlardagi bo‘shliqlarni o‘ylang.

2. Monitoring kuchli bo‘lsin Muammoni topish yarim ish. Escalation yo‘li, on-call muhandislar va deploy to‘xtatish huquqi kerak. Monitoring bor edi, javob yo‘q.

3. DNSSEC ikki tomonlama qilich Xavfsizlik yaxshi, lekin ota zonadagi imzo farzandlarni buzadi. O‘zgarishlarni sinashda ta’sir doirasini hisoblang. Parallel ishni uzaytiring, bir nechta tizimda tekshiring.

4. Har qatlamda zaxira Katta resolverlar tekshiruvni o‘chirib xizmatni saqladi. Kichiklar uchun to‘liq qorong‘ilik. Shunga o‘xshash holatga tayyorlaning.

Oldinga

6-may kuni kechqurun hamma tiklandi. .DE registratori batafsil post-mortem chiqarishga va’da berdi. Bu shaffoflik – sanoatga kerak, ayblash uchun emas, o‘rganish uchun.

Kritik infratuzilma (ayniqsa DNS) boshqarsangiz, bu voqea murakkablik, avtomatlashtirish va kichik xatolar qanday uzilish yasashini ko‘rsatadi. Xulosa – "DNSSEC yomon" emas. Masshtabda ehtiyot, kamtarlik va taxminlarni doim tekshirish kerak.

Domen strategiyangizda registrar tanlashdan tashqari, ularning monitoring, sinov va voqea javobini bilib oling. Chunki xato bo‘ladi – ular qanday hal qilishi muhim.

NameOcean’da DNS va hosting infratuzilmamizni shaffof boshqaramiz va mustahkam monitoring qilamiz. Domenlaringizning DNS ishonchliligi haqida tashvishlansangiz, suhbatlashamiz. (Biz xatolarsiz emasmiz – ularni jonli chiqmasdan ushlaymiz.)