Apakah TLD .de offline karena DNSSEC?

 (dnssec-analyzer.verisignlabs.com)
1 poin oleh GN⁺ 1 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Hasil DNSSEC Debugger nic.de berdasarkan waktu 2026-05-06 00:38:26 UTC, dan memverifikasi rantai kepercayaan dari root melalui .de hingga nic.de langkah demi langkah
  • Zona root mencakup DS=20326/SHA-256 dan DS=38696/SHA-256, dan DS keytag 26755 untuk delegasi .de diverifikasi dengan tanda tangan root DNSKEY=54393
  • Zona .de mencakup DNSKEY=26755/SEP dan DNSKEY=32911, dan DS=26755/SHA-256 memverifikasi DNSKEY RRset milik .de
  • Delegasi nic.de mencakup nameserver ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net, dan DS=26155/SHA-256 diverifikasi oleh DNSKEY=32911 milik .de
  • A record milik nic.de terkonfirmasi sebagai 81.91.170.12 dari semua kueri ke nameserver otoritatif, dan RRSIG=36463 serta DNSKEY=36463 memverifikasi RRset tersebut

nic.de Alur verifikasi DNSSEC

  • Target pemeriksaan adalah nic.de, dan pada layar DNSSEC Debugger ditampilkan opsi pengaturan Detail berupa more(+) dan less(-)
  • Waktu yang ditampilkan adalah 2026-05-06 00:38:26 UTC
  • Status DNSSEC nic.de juga dapat diuji di dnsviz.net

Rantai kepercayaan dari root ke .de

  • Verifikasi DNSKEY zona root

    • DS=20326/SHA-256 dan DS=38696/SHA-256 milik root (.) termasuk dalam rantai kepercayaan
    • Kueri ./DNSKEY dikirim ke j.root-servers.net, respons 1139 byte diterima dari 192.58.128.30, dan kode respons adalah NOERROR
    • Tiga record DNSKEY terkonfirmasi di zona root
      • DNSKEY keytag 54393, flag 256, algoritme 8
      • DNSKEY keytag 20326, flag 257, algoritme 8
      • DNSKEY keytag 38696, flag 257, algoritme 8
    • DNSKEY=20326/SEP dan DNSKEY=38696/SEP termasuk dalam rantai kepercayaan, dan masing-masing diverifikasi dengan DS=20326/SHA-256 dan DS=38696/SHA-256
    • DNSKEY RRset root memiliki 1 RRSIG, dan RRSIG=20326 serta DNSKEY=20326/SEP memverifikasi DNSKEY RRset tersebut
    • DNSKEY=54393 juga termasuk dalam rantai kepercayaan

  • Konfirmasi delegasi dari root ke .de

    • Kueri nic.de/A dikirim ke k.root-servers.net, respons 742 byte diterima dari 193.0.14.129, bagian jawaban kosong, dan informasi delegasi .de disertakan di bagian otoritas
    • Nameserver .de yang dikembalikan adalah a.nic.de, f.nic.de, l.de.net, n.de.net, s.de.net, z.nic.de
    • Record DS .de dikembalikan dengan keytag 26755, algoritme 8, digest type 2, dan digest SHA-256 f341357809a5954311ccb82ade114c6c1d724a75c0395137aa3978035425e78d
    • RRset DS .de menyertakan RRSIG, dan penandatangannya adalah DNSKEY=54393 milik root
    • Bagian tambahan mencakup alamat IPv4/IPv6 dari nameserver .de
      • a.nic.de: 194.0.0.53, 2001:678:2::53
      • f.nic.de: 81.91.164.5, 2a02:568:0:2::53
      • z.nic.de: 194.246.96.1, 2a02:568:fe02::de
      • l.de.net: 77.67.63.105, 2001:668:1f:11::105
      • n.de.net: 194.146.107.6, 2001:67c:1011:1::53
      • s.de.net: 195.243.137.26, 2003:8:14::53

  • Verifikasi RRset DS .de

    • Kueri de/DS dikirim ke b.root-servers.net, respons 366 byte diterima dari 170.247.170.2, dan kode respons adalah NOERROR
    • Satu record DS untuk .de terkonfirmasi di zona root
    • DS=26755/SHA-256 menggunakan algoritme RSASHA256
    • RRset DS .de memiliki 1 RRSIG, dan RRSIG=54393 serta DNSKEY=54393 memverifikasi RRset DS tersebut
    • DS=26755/SHA-256 termasuk dalam rantai kepercayaan

  • Verifikasi DNSKEY RRset .de

    • Kueri de/DNSKEY dikirim ke f.nic.de, respons 745 byte diterima dari 81.91.164.5, dan kode respons adalah NOERROR
    • Dua record DNSKEY terkonfirmasi di .de
      • DNSKEY keytag 32911, flag 256, algoritme 8, TTL 3600
      • DNSKEY keytag 26755, flag 257, algoritme 8, TTL 3600
    • DNSKEY=26755/SEP termasuk dalam rantai kepercayaan, dan DS=26755/SHA-256 memverifikasi DNSKEY=26755/SEP
    • DNSKEY RRset .de memiliki 1 RRSIG, dan RRSIG=26755 serta DNSKEY=26755/SEP memverifikasi RRset tersebut
    • DNSKEY=32911 termasuk dalam rantai kepercayaan

Delegasi dari .de ke nic.de dan verifikasi DS

  • Konfirmasi subzona nic.de

    • Kueri nic.de/A dikirim ke l.de.net, respons 464 byte diterima dari 77.67.63.105, bagian jawaban kosong, dan informasi delegasi nic.de disertakan di bagian otoritas
    • Nameserver nic.de yang dikembalikan adalah ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net
    • Record DS nic.de dikembalikan dengan keytag 26155, algoritme 8, digest type 2, dan digest SHA-256 2f06c8cdf8673a2e98d72c8b7ab6067d9318458b3d9edccde1c5ef793c0c565d
    • RRset DS nic.de menyertakan RRSIG, dan penandatangannya adalah DNSKEY=32911 milik .de
    • Bagian tambahan mencakup sebagian alamat nameserver nic.de
      • ns1.denic.de: 77.67.63.106, 2001:668:1f:11::106
      • ns2.denic.de: 81.91.164.6, 2a02:568:0:2::54
      • ns3.denic.de: 195.243.137.27, 2003:8:14::106
    • Saat nic.de/DNSKEY juga dikueri ke l.de.net, delegasi, DS, RRSIG, dan informasi alamat tambahan nic.de yang sama juga dikembalikan, sehingga subzona nic.de terkonfirmasi

  • Verifikasi RRset DS nic.de

    • Kueri nic.de/DS dikirim ke a.nic.de, respons 245 byte diterima dari 194.0.0.53, dan kode respons adalah NOERROR
    • Satu record DS untuk nic.de terkonfirmasi di zona de
    • DS yang terkonfirmasi memiliki keytag 26155, algoritme 8, digest type 2, dan ditampilkan berbasis SHA-256
    • DS RRset memiliki 1 RRSIG, dan RRSIG=32911 serta DNSKEY=32911 memverifikasi DS RRset
    • DS=26155/SHA-256 termasuk dalam rantai kepercayaan
nic.de. 86400 IN DS (
  26155 8 2 2f06c8cdf8673a2e98d72c8b7ab6067d9318458b3d9edccde1c5ef793c0c565d
)

Verifikasi DNSKEY dan record nic.de

  • Verifikasi DNSKEY nic.de

    • Kueri nic.de/DNSKEY dikirim ke ns4.denic.net, respons 625 byte diterima dari 194.246.96.28, dan kode respons adalah NOERROR
    • Dua record DNSKEY terkonfirmasi di nic.de
    • keytag 26155 adalah DNSKEY dalam format 257 3 8, dan DNSKEY=26155/SEP termasuk dalam rantai kepercayaan
    • DS=26155/SHA-256 memverifikasi DNSKEY=26155/SEP
    • DNSKEY RRset memiliki 1 RRSIG, dan RRSIG=26155 serta DNSKEY=26155/SEP memverifikasi DNSKEY RRset
    • DNSKEY=36463 juga termasuk dalam rantai kepercayaan
nic.de. 3600 IN DNSKEY (
  257 3 8 AwEAAb/xrM2MD+xm84YNYby6TxkMaC6PtzF2bB9WBB7ux7iqzhViob4GKvQ6L7CkXjyAxfKbTzrd
  vXoAPpsAPW4pkThReDAVp3QxvUKrkBM8/uWRF3wpaUoPsAHm1dbcL9aiW3lqlLMZjDEwDfU6lxLc
  Pg9d14fq4dc44FvPx6aYcymkgJoYvR6P1wECpxqlEAR2K1cvMtqCqvVESBQV/EUtWiALNuwR2Pbh
  wtBWJd+e8BdFI7OLkit4uYYux6Yu35uyGQ==
) ; keytag 26155

nic.de. 3600 IN DNSKEY (
  256 3 8 AwEAAdkJ06nJ8Cutng7f9HACMUhuYnF0CX7uCZ06CyauTxQIpOQpQBKI03/EPn8fI518pvOqxAO7
  XWaGsSovRyI3UPd963JZpYrEOcVDFPA2Qrz5eFj8MIBKH6HcQGnum0UFxmIRVaKT5K5WM+xeUeP5
  Xr4P54Jkyo18rz0LwzDp9gjj
) ; keytag 36463

  • Verifikasi A record dan tanda tangan nic.de

    • Kueri nic.de/A ke ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net semuanya merespons NOERROR
    • Sumber respons per nameserver adalah ns1.denic.de dari 77.67.63.106, ns2.denic.de dari 81.91.164.6, ns3.denic.de dari 195.243.137.27, dan ns4.denic.net dari 194.246.96.28
    • Pada semua kueri A, nilai A record nic.de terkonfirmasi sebagai 81.91.170.12
    • Setiap respons menyertakan RRSIG yang ditandatangani oleh zona nic.de, dan 1 RRSIG terkonfirmasi pada A RRset
    • RRSIG=36463 dan DNSKEY=36463 memverifikasi A RRset
nic.de. 3600 IN A 81.91.170.12

nic.de. 3600 IN RRSIG (
  A 8 2 3600 20260519222346 20260505205346 36463 nic.de.
  VIyuPDO6Bf029ILioOvWPhkPmQctDIepz+bK/7s7GS1hHEIZrs/9pDGblfW19sjmVpJGIslYmiGh
  QUDTgJcv8lcWqrfUK3pTv9QxmYRDOMM/zTZz50hqfcNkvzL7dg/7A/yPoPk3aTMXH3pFNY0N2RnU
  t8THHOfUcu3w19fma4w=
)

  • Nameserver otoritatif dan respons SOA

    • Nameserver otoritatif nic.de yang disertakan dalam respons adalah ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net
    • nic.de/SOA dikueri ke ns3.denic.de, ns4.denic.net, dan ns2.denic.de, dan semuanya mengembalikan respons 507 byte serta NOERROR
    • Record SOA menampilkan ns1.denic.de. sebagai nameserver utama, dan dns-operations.denic.de. sebagai kontak yang bertanggung jawab
    • Nilai SOA sama, yaitu serial 1778019826, refresh 10800, retry 1800, expire 3600000, minimum 1800
    • Respons SOA juga menyertakan RRSIG, dan penandatangan ditampilkan sebagai 36463 nic.de.
nic.de. 3600 IN SOA (
  ns1.denic.de. dns-operations.denic.de.
  1778019826 ;serial
  10800 ;refresh
  1800 ;retry
  3600000 ;expire
  1800 ;minimum
)

Bacaan terkait

1 komentar

 
GN⁺ 1 jam lalu
Komentar Hacker News

  • Kelihatannya ini masalah DNSSEC, bukan gangguan nameserver. Resolver yang melakukan validasi mengembalikan SERVFAIL beserta EDE untuk semua nama .de
    dig +cd amazon.de @8.8.8.8 dan dig amazon.de @a.nic.de berfungsi, jadi data zone tampaknya utuh. DENIC mendistribusikan RRSIG untuk record NSEC3 yang tidak tervalidasi oleh ZSK 33834, sehingga semua resolver yang melakukan validasi menolak respons
    Fakta bahwa ini kadang-kadang berhasil juga cocok dengan anycast. Beberapa instance [a-n].nic.de tampaknya masih mengirim tanda tangan lama yang valid, jadi saat retry kadang-kadang permintaan mencapai authoritative server yang sehat. Menurut FAQ DENIC, ZSK .de diganti setiap 5 minggu dengan metode pra-publikasi, jadi ini tercium seperti kegagalan rollover

    • Satu kesalahan konfigurasi di satu tempat praktis memutus akses eksternal ke salah satu blok ekonomi besar. Ini terjadi pada malam hari waktu setempat, dan bahkan dengan mempertimbangkan cache TTL kemungkinan bisa diperbaiki sebelum pagi, jadi cakupan dampaknya mungkin agak terbatas
      Meski begitu, infrastruktur yang rapuh pada level ini adalah risiko politik. Karakteristik internet yang terkenal, yaitu “merutekan ulang menghindari kerusakan”, tidak bekerja dengan baik di sini. Sepertinya akan ada analisis pasca-insiden yang menarik
    • Sudah 20 tahun saya bekerja di IT, dan selain DNSSEC saya tidak paham satu pun singkatan di sini

  • Sepertinya tim DENIC sedang ada di pesta malam ini. Bersenang-senang sih boleh, tapi jangan kebablasan
    https://bsky.app/profile/denic.de/post/3ml4r2lvcjg2h

    • Menarik juga sebagai bus factor kalau dalam keadaan darurat, semua orang yang punya kualifikasi, pengalaman, dan kepercayaan untuk commit perubahan operasional, membatalkan maintenance yang gagal, atau melakukan rollback ternyata tidak sepenuhnya sadar

  • Saya belum pernah memakai DNSSEC dan juga tidak pernah berusaha mengimplementasikannya, tapi kalau saya memahaminya dengan benar, bukankah ini seperti menaruh lapisan sertifikat titik kegagalan tunggal di atas DNS yang awalnya terdesentralisasi? Dan sekarang praktis semua domain ikut rusak karena gangguan pada organisasi pusat yang mengelola sertifikat itu?

    • Domain tingkat atas .de pada dasarnya memang dikelola oleh satu organisasi, dan kalau nameserver-nya mati pun situasinya tidak akan jauh lebih baik. Beberapa record memang akan ter-cache di resolver hilir, tetapi tidak semuanya dan tidak akan lama
      DNSSEC justru membuat DNS lebih terdesentralisasi. Tanpa DNSSEC, untuk menjamin respons tepercaya Anda harus bertanya langsung ke authoritative nameserver. Dengan DNSSEC, Anda bisa bertanya ke caching resolver pihak ketiga dan tetap percaya hasilnya karena hanya respons yang sah yang memiliki tanda tangan valid
      Begitu juga, tanpa DNSSEC pemilik domain harus sepenuhnya mempercayai authoritative nameserver, karena server itu bisa dengan mudah memalsukan hasil yang tampak tepercaya. Dengan DNSSEC, Anda jauh lebih sedikit perlu mempercayai authoritative nameserver [0], sehingga sebagian bisa di-host dengan aman oleh pihak ketiga
      [0]: https://news.ycombinator.com/item?id=47409728
    • DNSSEC tidak mengubah tingkat desentralisasi DNS. DNS sejak awal memang berstruktur hierarkis. Tanpa cache, semua kueri DNS dimulai dari kueri ke root DNS server
      Untuk foo.com atau foo.de, pertama Anda bertanya ke root server untuk mengetahui nameserver yang menangani .com dan .de, lalu ke server .com atau .de untuk menanyakan nameserver bagi foo.com dan foo.de. Yang dilakukan DNSSEC hanyalah menambahkan tanda tangan pada respons ini, serta menambahkan kunci publik agar respons langkah berikutnya bisa diautentikasi
      Daftar IP root nameserver sudah disertakan di semua resolver DNS rekursif lokal. Daftar ini berubah perlahan selama bertahun-tahun. Dalam DNSSEC, daftar ini juga mencakup kunci publik root server, dan itu pun diganti secara perlahan
    • Yang terlihat sekarang justru adalah desentralisasi yang sedang bekerja. Masalahnya ada pada operator domain tingkat atas .de, jadi hanya TLD itu yang terdampak
      DNS tidak terdesentralisasi dalam arti satu infrastruktur domain tingkat atas dijalankan oleh banyak organisasi. Domain tingkat atas selalu dioperasikan oleh satu entitas. .com dan .net dioperasikan oleh Verisign
      Jadi, masalah pada operator tidak mengubah cakupan dampaknya

  • Cloudflare sekarang menonaktifkan validasi DNSSEC pada resolver 1.1.1.1: https://www.cloudflarestatus.com/incidents/vjrk8c8w37lz

    • Pada titik ini, rasanya DNSSEC bisa dibilang sudah tamat
    • Jika ternyata masalah DNSSEC ini disebabkan oleh pelaku ancaman, mungkin efek hilir seperti inilah yang mereka incar

  • Saya tinggalkan di sini tulisan klasik Thomas Ptacek tentang DNSSEC
    https://sockpuppet.org/blog/2015/01/15/against-dnssec/

  • Gila. Saya bahkan tidak ingat apakah pernah ada insiden seperti ini sebelumnya, dan ini masih belum juga diperbaiki? Dari sudut pandang ekonomi, .de mungkin adalah domain tak dibatasi yang paling penting setelah .com. Jutaan perusahaan praktis sedang “down” sekarang

  • Betul, semua domain .de down karena kegagalan DNSSEC di DENIC
    https://dnsviz.net/d/de/dnssec/

  • Sepertinya saya datang terlalu pagi. Belum ada satu pun ocehan panjang DNSSEC dari tptacek di thread ini

    • Memangnya saya perlu ngoceh panjang lebar apa? Kadang dunia melakukannya untuk saya
    • Bukankah insiden ini sendiri sudah berbicara banyak?

  • Saya sangat stres karena layanan dan aplikasi sama sekali tidak bisa terhubung ke domain saya. Hanya berfungsi lewat data seluler, tapi setidaknya kali ini bukan salah saya

    • Tetap saja, kami orang Jerman butuh seseorang untuk disalahkan

  • Di https://status.denic.de/ DNS Nameservice sekarang ditandai sebagai “Partial Service Disruption”
    Edit: sekarang berubah menjadi “Service Disruption”

    • Seluruh situs di ekonomi terbesar ketiga dunia down, tapi tetap disebut gangguan layanan “parsial” :D
    • Seluruh Jerman offline, tapi DENIC menyebutnya “Partial Service Disruption”. Pilihan katanya cukup unik
    • Sekarang muncul “Server Not Found”
    • “All Systems Operational”