The Cloudflare Blog
·
当DNSSEC出错时:我们如何应对.de顶级域名的故障
💡
原文英文,约2400词,阅读约需9分钟。
📝
内容提要
2026年5月5日,德国.de顶级域名注册管理机构DENIC发布了错误的DNSSEC签名,导致大量域名无法访问。Cloudflare通过将.de标记为不安全区域,绕过DNSSEC验证,恢复了用户访问。此事件凸显了DNS层级结构的脆弱性,以及运营商之间信任与沟通的重要性。
🎯
关键要点
-
2026年5月5日,德国.de顶级域名注册管理机构DENIC发布了错误的DNSSEC签名,导致大量域名无法访问。
-
Cloudflare通过将.de标记为不安全区域,绕过DNSSEC验证,恢复了用户访问。
-
DNSSEC通过加密认证确保DNS记录的完整性,但在错误配置时会导致验证失败。
-
在事件发生后,Cloudflare的1.1.1.1解析器实施了负信任锚(NTA)机制,允许用户访问.de域名。
-
此事件强调了DNS层级结构的脆弱性,以及运营商之间信任与沟通的重要性。
❓
延伸问答
2026年5月5日.de顶级域名发生了什么事件?
德国.de顶级域名注册管理机构DENIC发布了错误的DNSSEC签名,导致大量域名无法访问。
Cloudflare是如何应对.de域名故障的?
Cloudflare将.de标记为不安全区域,绕过DNSSEC验证,恢复了用户访问。
DNSSEC的作用是什么?
DNSSEC通过加密认证确保DNS记录的完整性,防止数据被篡改。
什么是负信任锚(NTA)机制?
负信任锚(NTA)机制允许解析器将特定区域视为未签名,从而绕过验证,适用于TLD配置错误的情况。
此次事件对DNS层级结构有什么启示?
事件强调了DNS层级结构的脆弱性,以及运营商之间信任与沟通的重要性。
Cloudflare在事件中遇到了什么技术问题?
Cloudflare的1.1.1.1解析器在返回SERVFAIL时未能正确显示DNSSEC错误代码,导致用户误解问题原因。
🏷️
标签
➡️
