Luôn là lỗi DNS: Denic xin lỗi vì sự cố làm sập internet Đức hàng giờ đồng hồ

Denic, tổ chức quản lý tên miền .de của Đức, đã chính thức xin lỗi về sự cố nghiêm trọng khiến phần lớn internet của quốc gia này bị sập vào tối thứ Ba. Hiện tại, vấn đề được cho là đã được giải quyết và các trang web đang hoạt động trở lại bình thường sau nhiều giờ gián đoạn.

Theo thông báo từ Denic, các vấn đề kỹ thuật được phát hiện lần đầu vào lúc 21:57 ngày 5 tháng 4, nhưng các kỹ sư đã triển khai bản sửa lỗi thành công trước 01:15 rạng sáng hôm sau.

Nguyên nhân do lỗi chữ ký DNSSEC

Denic xác định rằng nguyên nhân của sự cố nằm ở Hệ thống mở rộng bảo mật DNS (DNSSEC). Cụ thể, tổ chức này đã vô tình phân phối các chữ ký DNSSEC bị lỗi, dẫn đến việc hệ thống không thể xác thực danh tính các tên miền.

Tại thời điểm này, Denic vẫn đang tiến hành điều tra để hiểu rõ nguyên nhân gốc rễ của lỗi kỹ thuật này. Họ chưa cung cấp nhiều chi tiết cụ thể, dù một số chuyên gia mạng cho rằng sự cố có thể liên quan đến quá trình chuyển đổi khóa ký vùng (zone signing key rollover). Denic hứa hẹn sẽ công bố chi tiết sau khi kết thúc cuộc điều tra.

Do vấn đề bắt nguồn từ DNSSEC, chỉ những tên miền đã kích hoạt tính năng bảo mật này mới bị ảnh hưởng trực tiếp.

Hàng trăm nghìn trang web bị ảnh hưởng

Theo dữ liệu từ ICANN, chỉ có khoảng 3,6% tên miền .de được ký bằng DNSSEC. Tuy nhiên, con số này vẫn tương đương với hàng trăm nghìn tên miền, xét đến việc có gần 18 triệu tên miền đang được đăng ký dưới đuôi .de.

Dữ liệu từ Downdetector tại Đức cho thấy hàng nghìn báo cáo về sự cố ngừng hoạt động đối với các dịch vụ lớn như Amazon, DHL, Steam và Web.de vào khung giờ mà Denic xác nhận gặp sự cố. Các báo cáo từ người dùng cũng cho thấy các nền tảng như eBay và nhiều trang tin tức chính thống khác cũng không thể truy cập được.

Việc kích hoạt DNSSEC giúp chủ sở hữu trang web ngăn chặn các cuộc tấn công giả mạo DNS (DNS spoofing) bằng cách cung cấp thêm lớp xác thực cho các phản hồi DNS.

Mặc dù được đưa vào sử dụng chính thức từ năm 2010 để đối phó với các cuộc tấn công DNS gia tăng vào năm 2008, tỷ lệ áp dụng DNSSEC trên toàn cầu nhìn chung vẫn khá thấp. Ít hơn 10% các tên miền cấp cao nhất (TLD) sử dụng tiện ích bảo mật này.

Chỉ có một số ngoại lệ như Hà Lan, Thụy Điển, Cộng hòa Séc và Trung Quốc có tỷ lệ sử dụng DNSSEC cao hơn. Tuy nhiên, phần lớn các tên miền trên thế giới vẫn bỏ qua tiêu chuẩn này.

Các rào cản khiến các nhà điều hành trang web e ngại khi chuyển đổi sang DNSSEC bao gồm sự phức tạp trong triển khai, sự giảm hiệu suất web, và rủi ro bị ngừng hoạt động hoàn toàn do lỗi của nhà đăng ký—như trường hợp của Denic tuần này hoặc sự cố tại New Zealand vào năm 2023.