配置失误 德国顶级域名.de出现因DNSSEC签名错误导致的大范围中断

专业人士经过分析后发现这属于 DENIC (负责管理该域名的机构) 低级配置失误，原因是 DENIC 在轮换 ZSK 密钥时发布格式错误的签名，ZSK 指的是空间签名密钥，这个密钥用于 DNSSEC 加密。

由于发布格式错误的签名，所有启用 DNSSEC 加密验证的递归解析器都会返回 SERVFAIL 错误，这导致海量.de 域名无法正常解析，例如电商网站亚马逊德国区 Amazon.de 就无法正常加载。

检测到异常后，负责运营 1.1.1.1 公共 DNS 服务器的 Cloudflare 立即关闭针对 DE 域名的 DNSSEC 验证，因此使用 1.1.1.1 和 1.0.0.1 的用户受到的影响不是特别大，但使用其他公共 DNS 服务器的用户可能就会遇到长时间无法访问的错误。

但 Cloudflare 的做法也引起质疑，即如果真遇到攻击时，这种紧急关闭验证的做法是否也会成为目标 (即利用攻击转移注意力，然后让主流公共 DNS 服务器提供商关闭 DNSSEC，这样黑客再进行其他劫持)。

DNSSEC 本来是为了防止 DNS 欺骗而增加的数字签名层，简单的配置失误就让 DE 域名直接离线，所以也有业内人士感慨互联网的故障转移能力在这里失效，DNSSEC 提升安全性的同时也增加了脆性。

另外负责这个问题的 DENIC 也发布公告承认所有启用 DNSSEC 签名的 DE 域名在可访问性方面受到影响，DENIC 称中断的根本原因还未完全确定，技术团队正在全力分析并尽快恢复稳定运行。

注：截至本文发布时，采用 DNSSEC 加密的 DE 域名已经陆续恢复访问，但因为不同域名设置的 TTL 生存时间不同，部分域名可能还需要等待全球 DNS 刷新过后才能访问。