जर्मन देश-स्तरीय शीर्ष-स्तरीय डोमेन नाम (ccTLD) ने कल रात बड़े पैमाने पर और दीर्घकालिक आउटेज का अनुभव किया। यह आउटेज DE डोमेन नाम के रूट डोमेन नाम सर्वर की विफलता नहीं प्रतीत होता है, बल्कि डोमेन नाम द्वारा उपयोग किए जाने वाले DNSSEC एन्क्रिप्शन सिस्टम के हस्ताक्षर में एक त्रुटि है। हस्ताक्षर में त्रुटि के कारण, संपूर्ण DE डोमेन नाम स्थान पंगु हो गया था।
विश्लेषण के बाद, पेशेवरों ने पाया कि यह DENIC (डोमेन नाम के प्रबंधन के लिए जिम्मेदार एजेंसी) द्वारा एक निम्न-स्तरीय कॉन्फ़िगरेशन त्रुटि थी। इसका कारण यह था कि ZSK कुंजी को घुमाते समय DENIC ने एक विकृत हस्ताक्षर जारी किया था। ZSK स्थानिक हस्ताक्षर कुंजी को संदर्भित करता है, जिसका उपयोग DNSSEC एन्क्रिप्शन के लिए किया जाता है।
विकृत हस्ताक्षर जारी करने के कारण, DNSSEC एन्क्रिप्शन सत्यापन को सक्षम करने वाले सभी पुनरावर्ती पार्सर SERVFAIL त्रुटियां लौटाएंगे, जिसके परिणामस्वरूप बड़ी संख्या में .de डोमेन नाम सामान्य रूप से पार्स करने में असमर्थ होंगे। उदाहरण के लिए, जर्मनी में ई-कॉमर्स वेबसाइट Amazon.de को सामान्य रूप से लोड नहीं किया जा सकता है।
विसंगति का पता लगाने के बाद, Cloudflare, जो 1.1.1.1 सार्वजनिक DNS सर्वर संचालित करता है, ने तुरंत DE डोमेन नामों के लिए DNSSEC सत्यापन बंद कर दिया, इसलिए 1.1.1.1 और 1.0.0.1 का उपयोग किया गया के उपयोगकर्ता विशेष रूप से प्रभावित नहीं होते हैं, लेकिन अन्य सार्वजनिक DNS सर्वर का उपयोग करने वाले उपयोगकर्ताओं को दीर्घकालिक दुर्गमता त्रुटियों का अनुभव हो सकता है।
लेकिन क्लाउडफ़ेयर का दृष्टिकोण इस बारे में भी सवाल उठाता है कि क्या कोई हमला होने पर सत्यापन का यह आपातकालीन शटडाउन भी एक लक्ष्य होगा (अर्थात, ध्यान भटकाने के लिए हमले का उपयोग करना, और फिर मुख्यधारा के सार्वजनिक DNS सर्वर प्रदाताओं को DNSSEC को बंद करने देना, ताकि हैकर्स अन्य अपहरणों को अंजाम दे सकें)।
DNSSEC मूल रूप से DNS स्पूफिंग को रोकने के लिए जोड़ा गया एक डिजिटल हस्ताक्षर परत था। एक साधारण कॉन्फ़िगरेशन त्रुटि सीधे DE डोमेन नाम को ऑफ़लाइन ले जा सकती है। इसलिए, उद्योग में कुछ लोग अफसोस जताते हैं कि इंटरनेट की फेलओवर क्षमता यहां विफल हो जाती है। DNSSEC सुरक्षा में सुधार करता है और कमजोरी भी बढ़ाता है।
इसके अलावा, DENIC, जो इस समस्या के लिए ज़िम्मेदार है, ने भी एक घोषणा जारी की जिसमें स्वीकार किया गया कि DNSSEC हस्ताक्षर सक्षम वाले सभी DE डोमेन नाम पहुंच के संदर्भ में प्रभावित हैं। DENIC ने कहा कि आउटेज का मूल कारण अभी तक पूरी तरह से निर्धारित नहीं किया गया है, और तकनीकी टीम जल्द से जल्द विश्लेषण करने और स्थिर संचालन को बहाल करने के लिए कड़ी मेहनत कर रही है।
नोट: इस लेख के प्रकाशन तक, DNSSEC द्वारा एन्क्रिप्ट किए गए DE डोमेन नामों तक पहुंच धीरे-धीरे बहाल कर दी गई है। हालाँकि, क्योंकि अलग-अलग डोमेन नामों में अलग-अलग टीटीएल अस्तित्व का समय होता है, इसलिए कुछ डोमेन नामों को एक्सेस करने से पहले वैश्विक डीएनएस के ताज़ा होने की प्रतीक्षा करनी पड़ सकती है।