Un dominio nazionale ha smesso di risolvere per oltre un'ora

Il dominio .al dell'Albania si è rotto questo mese. Per più di un'ora gli indirizzi di tutto il paese hanno smesso di risolvere: portali dello Stato, testate giornalistiche e piattaforme private allo stesso modo. I cittadini non raggiungevano i servizi pubblici e le imprese che operano sotto domini albanesi sono semplicemente sparite dalla rete. AKEP, l'autorità nazionale per le comunicazioni elettroniche e postali, ha spiegato che il problema stava in sistemi all'estero che gestiscono una parte dell'infrastruttura di .al. La causa è stata un cambio di chiave DNSSEC mal riuscito, quella manutenzione crittografica di routine che dovrebbe restare invisibile.

Perché conta. DNSSEC esiste per dimostrare che una risposta DNS è autentica. Quando le firme non si convalidano, un resolver configurato correttamente deve rifiutare del tutto la risposta e restituire un errore. È lo standard che lavora esattamente come è stato progettato. Il modo di guasto di un controllo di sicurezza che fa bene il proprio mestiere è un paese che va offline.

La soluzione è stata spegnere la sicurezza

Nessuno nel registro poteva riparare le firme abbastanza in fretta, così la rete ha aggirato il problema nell'unico modo che conosce. Cloudflare ha disattivato temporaneamente la convalida DNSSEC per .AL sul suo resolver 1.1.1.1, e altri operatori hanno fatto lo stesso. Il meccanismo si chiama ancora di fiducia negativa e dice al resolver di trattare una zona firmata come se non lo fosse. Esiste proprio per questi incidenti. La risoluzione è tornata. La convalida no.

Cloudflare aveva messo la logica nero su bianco durante un episodio identico a maggio: nessun utente che stia risolvendo uno di quei nomi preferirebbe un errore a una risposta non convalidata. È quasi certamente vero, ed è tutto il problema. Il controllo non si guasta in sicurezza e non si guasta ad alta voce. Si guasta aperto, per convenzione del settore, proprio nel momento in cui un attaccante lo vorrebbe spento.

Dieci settimane prima era toccato a .de

Il 5 maggio 2026, verso le 19:30 UTC, DENIC ha pubblicato firme DNSSEC guaste per la zona .de. I resolver che convalidano erano tenuti a rifiutarle e a restituire errori, e uno dei domini di primo livello più grandi della rete ha cominciato a cadere. I guasti sono cresciuti per tre ore mentre scadevano i record in cache. DENIC ha indicato la causa da sé: un cambio di chiave programmato e di routine, durante il quale sono state generate e distribuite firme non convalidabili. Gli operatori dei resolver hanno messo ancore di fiducia negativa entro un'ora, e 1.1.1.1 aveva la sua contromisura in piedi alle 22:17 UTC.

Due registri nazionali, a dieci settimane di distanza, entrambi messi fuori gioco dalla manutenzione programmata e non da un attaccante. Non è una storia sull'Albania, e non era una storia sulla Germania. È lo stesso guasto che arriva due volte, il che ne fa uno schema e non un incidente. Arriverà una terza volta.

Ora il resolver vi dice quando ha smesso di controllare

La cosa davvero nuova è uscita da questo incidente. Accanto al rimedio, Cloudflare ha introdotto l'Extended DNS Error 33, un codice restituito nella risposta stessa che segnala che la convalida DNSSEC è stata aggirata. Fino a oggi un resolver che aveva lasciato cadere in silenzio la convalida di una zona appariva identico a uno che stava ancora controllando. Ricevevate una risposta, la risposta funzionava, e da nessuna parte c'era scritto che la garanzia crittografica dietro di essa era sospesa, forse per ore e forse su un intero dominio di primo livello.

Che cosa cambia. Quel silenzio era l'esposizione vera. Chi mette DNSSEC in un registro dei rischi, in un questionario di sicurezza o in un insieme di controlli NIS2 stava affermando qualcosa che non poteva osservare. L'EDE 33 trasforma uno stato invisibile in uno registrato. È una piccola aggiunta a un pacchetto di risposta ed è il primo segnale onesto in questo modo di guasto.

Che fare con una chiave che non è vostra

La parte scomoda è quanto poco di tutto questo dipenda da voi. La vostra zona può essere firmata alla perfezione e il vostro dominio sparisce lo stesso, perché la rottura è avvenuta un livello più su, nel registro che gestisce il suffisso del vostro paese. NIS2 tratta già i fornitori di servizi DNS e i registri dei domini di primo livello come soggetti ad alta criticità, il che riconosce che questo strato è sistemico. Non vi dà una leva. Quello che potete fare è smettere di considerare inerte quello strato: controllate se il vostro dominio risolve da più resolver pubblici e non solo dalla rete dell'ufficio, e annotate che cosa rispondono.

La conclusione. Registrate l'EDE 33 e generate un allarme. Se il vostro resolver comincia a segnalare di aver aggirato la convalida per il vostro dominio di primo livello, siete in una finestra in cui le risposte DNS per il vostro dominio non sono verificate, e conviene saperlo mentre accade invece di leggerlo dopo. Due paesi hanno già attraversato quella finestra senza poterla vedere. Il terzo avrà almeno una luce accesa.