Domena krajowa przestała się rozwiązywać na ponad godzinę

Albańska domena .al pękła w tym miesiącu. Przez ponad godzinę adresy w całym kraju przestały się rozwiązywać: portale państwowe, media i platformy prywatne tak samo. Obywatele nie docierali do usług publicznych, a firmy działające pod albańskimi domenami po prostu zniknęły z internetu. AKEP, krajowy urząd łączności elektronicznej i pocztowej, poinformował, że problem leży po stronie systemów za granicą, które prowadzą część infrastruktury .al. Przyczyną była nieudana wymiana klucza DNSSEC, czyli rutynowa kryptograficzna obsługa, która ma pozostawać niewidoczna.

Dlaczego to się liczy. DNSSEC istnieje po to, żeby dowieść, że odpowiedź DNS jest prawdziwa. Kiedy podpisy się nie walidują, poprawnie skonfigurowany resolwer musi odrzucić odpowiedź w całości i zwrócić błąd. To standard działający dokładnie tak, jak go zaprojektowano. Trybem awarii mechanizmu bezpieczeństwa, który porządnie wykonuje swoją pracę, jest kraj znikający z sieci.

Ratunkiem było wyłączenie zabezpieczenia

Nikt w rejestrze nie zdążył naprawić podpisów, więc sieć obeszła problem jedynym sposobem, jaki zna. Cloudflare tymczasowo wyłączył walidację DNSSEC dla .AL na swoim resolwerze 1.1.1.1, a inni operatorzy zrobili to samo. Mechanizm nazywa się negatywną kotwicą zaufania i każe resolwerowi traktować podpisaną strefę tak, jakby podpisana nie była. Istnieje właśnie na takie zdarzenia. Rozwiązywanie nazw wróciło. Walidacja nie.

Cloudflare wyłożył tę logikę wprost przy identycznym epizodzie w maju: żaden użytkownik, który właśnie rozwiązuje jedną z tych nazw, nie wolałby błędu od niezwalidowanej odpowiedzi. To niemal na pewno prawda i w tym tkwi cały problem. Mechanizm nie zawodzi w stronę bezpieczną i nie zawodzi głośno. Zawodzi otwarcie, zgodnie z branżową konwencją, dokładnie w chwili, w której napastnik najbardziej chciałby go mieć wyłączonego.

Dziesięć tygodni wcześniej to samo spotkało .de

Piątego maja 2026 roku, około 19:30 UTC, DENIC opublikował uszkodzone podpisy DNSSEC dla strefy .de. Resolwery, które walidują, musiały je odrzucić i zwracać błędy, a jedna z największych domen najwyższego poziomu w internecie zaczęła się przewracać. Awarie narastały przez trzy godziny, w miarę jak wygasały wpisy w pamięci podręcznej. DENIC sam wskazał przyczynę: rutynową, zaplanowaną wymianę klucza, w trakcie której wygenerowano i rozesłano podpisy niemożliwe do zwalidowania. Operatorzy resolwerów założyli negatywne kotwice zaufania w niecałą godzinę, a 1.1.1.1 miał swoje przeciwdziałanie na miejscu o 22:17 UTC.

Dwa krajowe rejestry, w odstępie dziesięciu tygodni, oba wyłączone przez zaplanowaną konserwację, a nie przez napastnika. To nie jest opowieść o Albanii i nie była to opowieść o Niemczech. To ta sama awaria przychodząca dwa razy, co czyni z niej wzorzec, a nie wypadek. Przyjdzie po raz trzeci.

Teraz resolwer mówi wam, kiedy przestał sprawdzać

Naprawdę nowa rzecz wyszła z tego zdarzenia. Obok obejścia Cloudflare wprowadził Extended DNS Error 33, kod zwracany w samej odpowiedzi, który sygnalizuje, że walidacja DNSSEC została pominięta. Do tej pory resolwer, który po cichu porzucił walidację strefy, wyglądał identycznie jak taki, który wciąż sprawdzał. Dostawaliście odpowiedź, odpowiedź działała i nigdzie nie było napisane, że stojąca za nią gwarancja kryptograficzna jest zawieszona, być może na godziny i być może dla całej domeny najwyższego poziomu.

Co się zmienia. Ta cisza była prawdziwą ekspozycją. Kto wpisuje DNSSEC do rejestru ryzyk, do ankiety bezpieczeństwa albo do zestawu mechanizmów NIS2, twierdził coś, czego nie mógł zaobserwować. EDE 33 zamienia stan niewidoczny w zalogowany. To drobny dodatek do pakietu odpowiedzi i pierwszy uczciwy sygnał w tym trybie awarii.

Co zrobić z kluczem, którego nie trzymacie

Niewygodne jest to, jak mało z tego należy do was. Wasza strefa może być podpisana bez zarzutu, a domena i tak zniknie, bo pęknięcie zdarzyło się poziom wyżej, w rejestrze prowadzącym końcówkę waszego kraju. NIS2 już traktuje dostawców usług DNS i rejestry domen najwyższego poziomu jako podmioty o wysokiej krytyczności, co jest przyznaniem, że ta warstwa działa systemowo. Dźwigni wam to nie daje. Możecie natomiast przestać uważać tę warstwę za martwą: monitorujcie, czy wasza własna domena rozwiązuje się z kilku publicznych resolwerów, a nie tylko z sieci biurowej, i zapisujcie, co te resolwery zwracają.

Wniosek. Logujcie EDE 33 i alarmujcie na jego podstawie. Jeśli wasz resolwer zacznie zgłaszać, że pominął walidację dla waszej domeny najwyższego poziomu, jesteście w oknie, w którym odpowiedzi DNS dla waszej domeny są niezweryfikowane, i lepiej wiedzieć o tym w trakcie, niż przeczytać o tym później. Dwa kraje przeszły już przez to okno, nie mogąc go zobaczyć. Trzeci będzie miał przynajmniej zapalone światło.