2026年5月5日19:30 UTC,德国国家顶级域名.de的管理机构DENIC开始发布错误的DNSSEC签名。任何执行验证的DNS解析器——包括Cloudflare运营的1.1.1.1公共解析服务——都必须按协议拒绝这些签名,向用户返回SERVFAIL错误。

.de是全球最大的国家顶级域名之一。Cloudflare Radar数据显示,其查询量长期位居全球前列。这一层级的DNS故障可能让数百万域名瞬间不可访问。

打开网易新闻 查看精彩图片

DNSSEC(域名系统安全扩展)为DNS添加加密认证机制。区域签名后,每组记录附带RRSIG数字签名,供解析器验证记录未被篡改。与DoT、DoH等加密DNS协议不同,DNSSEC保障的是完整性而非隐私——记录内容可见,但真伪可证。

DNSSEC的独特之处在于签名与记录同步传输。无论经过多少缓存节点,完整性验证始终有效。其信任链从根区开始,解析器内置根区信任锚,父区通过DS记录向子区委托信任。验证example.de时,解析器检查:根信任.de,.de信任example.de。链上任何断裂都会导致其下所有域名验证失败——这正是.de配置失误波及全局的原因。

区域通常使用两类密钥:ZSK(区域签名密钥)用于签署记录,KSK(密钥签名密钥)用于签署ZSK本身。KSK的公钥正是父区DS记录指向的对象,锚定整条信任链。ZSK轮换相对简单:生成新密钥、重新签名、等待缓存过期。KSK轮换则复杂得多,必须更新父区DS记录,常需与注册局协调。

密钥轮换存在关键窗口期:旧密钥逐步退出,新密钥逐步启用。若区域发布的签名所用密钥无法与已发布的DNSKEY记录匹配——无论因签名步骤失败、时机错误还是新密钥未完全分发——解析器将无从验证。