Miền .de của Đức gặp sự cố nghiêm trọng do lỗi cấu hình DNSSEC

Tên miền quốc gia cấp cao nhất (ccTLD) của Đức là .de đang gặp sự cố nghiêm trọng khiến nhiều dịch vụ trực tuyến trở nên không thể truy cập được. Nguyên nhân được xác định xuất phát từ lỗi cấu hình trong hệ thống DNSSEC (DNS Security Extensions), giao thức bảo mật quan trọng giúp đảm bảo tính toàn vẹn của dữ liệu DNS.

Trạng thái lỗi DNSSEC

Sự cố gì đang xảy ra với .de?

Theo các công cụ phân tích như Verisign Labs, quá trình xác thực chữ ký số cho tên miền .de đang thất bại. DNSSEC hoạt động bằng cách ký kỹ thuật số các bản ghi DNS để ngăn chặn các cuộc tấn công giả mạo. Tuy nhiên, khi cấu hình khóa công khai (DNSKEY) hoặc bản ghi DS (Delegation Signer) không khớp nhau, các trình phân giải DNS được bật bảo mật sẽ từ chối trả lời các truy vấn hướng tới .de.

Kiểm tra trạng thái DNS

Điều này có nghĩa là đối với người dùng Internet đang sử dụng các nhà cung cấp dịch vụ (ISP) hoặc trình phân giải DNS thực thi kiểm tra DNSSEC nghiêm ngặt, các trang web kết thúc bằng .de hiện tại đang bị coi là không tồn tại hoặc không an toàn để truy cập.

Tác động và nguyên nhân kỹ thuật

Vấn đề này thường xảy ra khi quản trị viên thực hiện rollover (thay đổi) khóa mã hóa nhưng không cập nhật đúng cách các bản ghi tại máy chủ tên gốc hoặc có sự sai lệch về thời gian hiệu lực của các chữ ký số.

• Mất kết nối: Người dùng không thể truy cập các trang web thương mại điện tử, tin tức hoặc dịch vụ công của Đức.
• Hỏng email: Hệ thống email có thể không thể gửi hoặc nhận thư do không xác định được máy chủ MX hợp lệ.
• Cảnh báo bảo mật: Trình duyệt có thể hiển thị cảnh báo lỗi DNSSEC.

Hiện tại, các kỹ sư tại DENIC (tổ chức quản lý tên miền .de) có lẽ đang nỗ lực khôi phục lại cấu hình đúng cho các bản ghi DNSKEY để đồng bộ hóa lại với hệ thống phân cấp DNS toàn cầu.

Hạ tầng Internet

Đây là một sự cố nhắc nhở cộng đồng công nghệ về sự phức tạp của DNSSEC. Mặc dù giao thức này mang lại lớp bảo mật thiết yếu chống lại các cuộc tấn công như DNS cache poisoning, nhưng một sai sót nhỏ trong cấu hình cũng có thể khiến toàn bộ một tên miền quốc gia "biến mất" khỏi mạng Internet.