北京
2026年5月5日19:30 UTC,德國國家頂級域名.de的管理機構DENIC開始發布錯誤的DNSSEC簽名。任何執行驗證的DNS解析器——包括Cloudflare運營的1.1.1.1公共解析服務——都必須按協議拒絕這些簽名,向用戶返回SERVFAIL錯誤。
.de是全球最大的國家頂級域名之一。Cloudflare Radar數據顯示,其查詢量長期位居全球前列。這一層級的DNS故障可能讓數百萬域名瞬間不可訪問。
DNSSEC(域名系統安全擴展)為DNS添加加密認證機制。區域簽名后,每組記錄附帶RRSIG數字簽名,供解析器驗證記錄未被篡改。與DoT、DoH等加密DNS協議不同,DNSSEC保障的是完整性而非隱私——記錄內容可見,但真偽可證。
DNSSEC的獨特之處在于簽名與記錄同步傳輸。無論經過多少緩存節點,完整性驗證始終有效。其信任鏈從根區開始,解析器內置根區信任錨,父區通過DS記錄向子區委托信任。驗證example.de時,解析器檢查:根信任.de,.de信任example.de。鏈上任何斷裂都會導致其下所有域名驗證失敗——這正是.de配置失誤波及全局的原因。
區域通常使用兩類密鑰:ZSK(區域簽名密鑰)用于簽署記錄,KSK(密鑰簽名密鑰)用于簽署ZSK本身。KSK的公鑰正是父區DS記錄指向的對象,錨定整條信任鏈。ZSK輪換相對簡單:生成新密鑰、重新簽名、等待緩存過期。KSK輪換則復雜得多,必須更新父區DS記錄,常需與注冊局協調。
密鑰輪換存在關鍵窗口期:舊密鑰逐步退出,新密鑰逐步啟用。若區域發布的簽名所用密鑰無法與已發布的DNSKEY記錄匹配——無論因簽名步驟失敗、時機錯誤還是新密鑰未完全分發——解析器將無從驗證。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
