ドイツのドメイン(.de)がダウン中？DNSSECに何が起きたのか

現在、ドイツの国別コードトップレベルドメイン（ccTLD）である「.de」ドメインがDNSSECの問題により名前解決ができない状態になっています。現在進行形で大規模な影響が出ている模様です。

ネームサーバーの障害じゃなくてDNSSECの問題みたいだね。検証リゾルバーがすべての.deドメインに対してEDE付きでSERVFAILを返してる。

a0d5d1p51kijsevll74k523htmq406bk.de/nsec3 (keytag=33834) に不正な形式のRRSIGが見つかった。
dig +cd amazon.de @8.8.8.8 は通るし、dig amazon.de @a.nic.de も通る。ゾーンデータ自体は正常だけど、DENICがZSK 33834で検証できないNSEC3レコードに対してRRSIGを発行しちゃったみたい。そのせいで検証を行っているすべてのリゾルバーが応答を拒否してるんだ。

断続的に発生してるのはエニキャストのせいかな。一部の[a-n].nic.deインスタンスはまだ（正常だった）以前の署名を返してるから、リトライするとたまに正常な権威サーバーに当たるのかも。DENICのFAQによると.deのZSKは5週間ごとにプレパブリッシュ方式でローテーションするから、今回はロールオーバーの失敗って感じだね。

ああ、DenicでのDNSSEC障害が原因で、.deドメインが全滅してるね。
https://dnsviz.net/d/de/dnssec/ (https://dnsviz.net/d/de/dnssec/)

https://status.denic.de/ (https://status.denic.de/) を見たらDNSネームサービスの「部分的サービス障害」になってる。

追記：今は「サービス障害」に変わった。

自分のドメイン経由でサービスやアプリに全然つながらなくて、マジで焦ってたわ……スマホのデータ通信だとつながるんだよね？……今回は自分のせいでなくて本当によかった。

まだ早かったか。このスレッドにはまだtptacekのDNSSECへの怒りの長文がひとつも投稿されてないな。

ヤバいな。こんなインシデント今まで聞いたことがないし、まだ直ってないの？.deドメインって経済的な観点で見れば.comの次に重要なオープンなドメインなのに。何百万ものビジネスが「ダウン」してる状態だよ。

DNSSECなんて一度も使ったことないし実装もしてこなかったけど、これってつまり、DNSという分散型プラットフォームの上に「単一障害点」になる証明書レイヤーを追加して、その証明書を管理する中央組織がやらかしたせいで、ほぼすべてのドメインが道連れにされてるって理解で合ってる？

どうやらDENICチームは今夜パーティー中だったみたいだな！盛り上がるのはいいけど、ほどほどにしとけよ。
https://bsky.app/profile/denic.de/post/3ml4r2lvcjg2h (https://bsky.app/profile/denic.de/post/3ml4r2lvcjg2h)

Cloudflareが1.1.1.1リゾルバーでのDNSSEC検証を無効化したね：https://www.cloudflarestatus.com/incidents/vjrk8c8w37lz (https://www.cloudflarestatus.com/incidents/vjrk8c8w37lz)

DNSSECに対するThomas Ptacekの最高に刺さる記事をここに置いておくよ：

https://sockpuppet.org/blog/2015/01/15/against-dnssec/ (https://sockpuppet.org/blog/2015/01/15/against-dnssec/)