.de 頂級域名 DNSSEC 簽章故障:Cloudflare 如何透過 RFC 7646 緊急恢復解析
Cloudflare Blog · 2026-05-06
2026 年 5 月 5 日 19:30 UTC,德國 .de 域名的 registry 管理機構 DENIC 在定期金鑰輪換(key rollover)過程中發布了無法被驗證的 DNSSEC 簽章,導致全球所有啟用 DNSSEC 驗證的解析器對 .de 所有子域名返回 SERVFAIL,直至 Cloudflare 於 22:17 UTC 部署緩解方案、約兩小時四十七分後才恢復服務。
漏洞機制
DNSSEC 的信任鏈從根區域(root zone)延伸至頂級域名(TLD)再到各子域名。DENIC 在金鑰輪換期間,已發布至 .de zone 的 RRSIG(Resource Record Signature)無法用對應的 DNSKEY 驗證——按照 DNSSEC RFC 規範,驗證失敗的響應必須以 SERVFAIL 丟棄,不得向客戶端返回記錄。
這是 .de 作為全球最大 TLD 之一的層級失效:問題發生在 TLD 層,直接使所有 .de 子域名不論其自身 DNSSEC 配置如何均受影響。
Cloudflare 的緊急應對
22:17 UTC,Cloudflare 對 1.1.1.1 的 .de zone 應用了相當於 RFC 7646 Negative Trust Anchor(NTA) 的機制,將 .de 標記為「不安全域(insecure zone)」,暫時繞過 DNSSEC 驗證,恢復對 .de 的正常解析。這個決定接受了一個短暫的風險窗口:NTA 生效期間,.de 的流量理論上容易受到中間人攻擊(雖然實際利用難度仍然較高)。
在此之前,Serve Stale(RFC 8767) 機制提供了部分緩衝——1.1.1.1 繼續提供過期快取記錄,減少了使用者感受到的完全中斷時間。Extended DNS Errors(EDE)在此事件中揭露了一個 Cloudflare 實作的 bug:DNSSEC 驗證失敗應回報 EDE code 6(DNSSEC Bogus),實際卻誤報 EDE 22(No Reachable Authority),影響下游解析器的診斷能力。
影響範圍
此事件凸顯了 TLD 層 DNSSEC 金鑰輪換流程的脆弱性:任何一步驟的時序或配置錯誤都會造成大規模中斷,且影響範圍由 TLD 大小直接決定,與各子域名的自身設定無關。Cloudflare 在事後報告中提出了幾項改進方向:修正 EDE 傳播 bug、研究更細緻的 NTA 觸發條件,以及向 RFC 工作組回饋 Serve Stale 與 DNSSEC 交互作用的實際觀察。
原始來源:Cloudflare Blog — When DNSSEC goes wrong: how we responded to the .de TLD outage