.de alan adlarıyla ilgili sorunlar: şu ana kadar bilinenler

5 Mayıs akşamı, .de alan adlarıyla hizmetleri ve web sitelerini yöneten birçok yönetici için hoş bir akşam değildi: 22:00'den kısa bir süre önce izleme sistemleri alarm verdi, müşteriler ve çalışanlar destek talepleri başlattı ve sorun giderme işlemleri başladı: web sitelerine erişilemedi, uygulamalar çalışmadı ve VPN bağlantıları çalışmadı. Ancak bunun nedeni servis operatörlerinde değil, merkezi bir noktada yatıyor: .de alanının Etki Alanı Adı Sisteminde (DNS), ya da daha doğrusu onların DNSSEC yapılandırmasında.

DENIC eG konfigürasyondan sorumludur ve şu ana kadar olayla ilgili yalnızca kısa bilgi vermiştir. Çarşamba günü sular sakinleşti, olumsuzluklar giderildi ve olaylara ilişkin bazı ayrıntılar netleşti. DNS verilerine bakıldığında kesin nedeni yalnızca DENIC'in açıklayabildiği görülüyor; hala bir deklarasyon bekleniyor. Olayları yeniden yapılandırmak için dnsviz.net servisinin kaydettiği geçmiş DNS kayıtlarını inceledik.

Ne oldu

DNSSEC, DNS yanıtlarını dijital imzalar kullanılarak yapılan manipülasyonlara karşı korumaktan sorumludur. DNSSEC olmadan saldırganlar, istemci ile çözümleyici arasındaki trafiği yakalayıp değiştirerek yanıtlar hazırlayabilir. DNSSEC, asimetrik şifrelemeyle, yani genel ve özel anahtarlardan oluşan anahtar çiftleriyle çalışır. Genel anahtarlar DNS'deki bir DNSKEY girişinde saklanır. Yanıtları imzalamak için daha kısa bölge imzalama anahtarları (ZSK) vardır ve bunlar da daha uzun bir anahtar imzalama anahtarıyla (KSK) imzalanır.

DNS yanıtının bütünlüğü, istek sahibinin anahtarlarına güvenmesi gereken kök bölgeden başlayarak adım adım doğrulanır. Dijital olarak imzalanmış kök bölge, üst düzey etki alanından sorumlu olan ad sunucularına işaret eder – bu özel durumda .de. Bu alan adından sorumlu ad sunucusuna geçerli, imzalı bir referans sağlarlarsa sorgulanacaktır. Yol boyunca bir imza bozulursa zincirin tamamı kopmuş sayılır ve ad çözümlemesi başarısız olur. Bu, manipülasyona karşı koruma sağlayan istenen davranıştır.

Bölge imzalama anahtarları üst düzey etki alanı düzeyinde düzenli aralıklarla değiştirilir. Bu, geniş kapsamlı sonuçları olan merkezi bir adım olduğundan, birkaç aşamada gerçekleşir: 2 Mayıs'ta, .de bölgesinden sorumlu olan DENIC, 33834 kimliğiyle yeni bir genel anahtar duyurdu. Bu, yeni girişin DNS'de dolaşıma girmesiyle zamanında gerçekleşti. Şu an için yeni anahtarla imza atılmadı; eski anahtar 32911 devraldı. 33834 ilk kez 5 Mayıs saat 21.43'te imza anahtarı olarak göründü. (19:43 UTC) .de bölgesinin SOA girişi için bir imzada (RRSIG). SOA, “Yetki Başlangıcı” anlamına gelir; giriş, bölgenin kendisi hakkında bilgiler içerir. Bu imza henüz netlik kazanmayan nedenlerden dolayı geçersizdir. Dnsviz.com'dan alınan veriler şunu gösteriyor: Şu anda 6 sorumlu ad sunucusunun tümü bu hatalı imzayı 33834 anahtarıyla teslim etti.

Akşam saat 21.59 civarında ilk karşı önlemler belli oldu: İsim sunucularından biri olan n.de.net, o andan itibaren SOA kaydı için yeni 33834 anahtarıyla imzalanmış geçerli bir imzayla yeni bir RRSIG kaydı sağladı. Diğer beş sunucu sahte imzayı yaymaya devam etti.

Saat 22.27'de yeni bir resim ortaya çıktı: n.de.net yine geçersiz bir imza sağladı, şimdi a.nic.de ve z.nic.de'nin eski 33834 anahtarıyla geçerli girişleri vardı – ancak IPv4 ve IPv6 aracılığıyla farklıydı. Aynı zamanda z.nic.de'de de kırık bir imza ortaya çıktı. Saat 22.31'de bir sonraki durum meydana geldi; artık beş sunucu yeni anahtar 33834 ile doğru bir şekilde imzalamayı başardı ve yalnızca bunu zaten başarmış olan n.de.net girişte hata yaptı. Sadece üç dakika sonra değişiklik olsun diye herkes yanlış cevaplar verdi ve sunuculardan kısa aralıklarla farklı kombinasyonlar geldi, hepsi geçersiz.

Saat 22.50'ye gelindiğinde çoğu sunucu eski sunucuyla geçerli bir ortak imza üzerinde anlaşmıştı, yalnızca n.de.net daha uzaktaydı. Durum ilk kez 6 Mayıs sabah saat 1:15'te (UTC 23:15) değişti ve tüm sunucular yine doğru – henüz mükemmel olmasa da – yanıtlara sahip oldu: a.nic.de ve z.nic.de paralel olarak iki imza gönderdi, en azından ikisi de geçerliydi. 1:17'de nihayet istenen durum geldi: Altı isim sunucusu geçerli bir imza oluşturmayı başardı. Altı ad sunucusunun tamamının aynı anda 33834 ile imza atmasını sağlamak mümkün olmadığından, bu noktada hepsi 32911 anahtarına geçtiler ve anahtar değişimi tersine döndü. 6 Mayıs öğleden sonrasına kadar hiçbir şey değişmemişti ve şu ana kadar 33834 anahtarını yeniden girme girişiminde bulunulmamıştı.

Yeni anahtarın kariyeri daha başlamadan bitti: 33834 anahtarının DNSKEY girişi en son 1:12'de görüldü. 1:15'te tüm isim sunucularından kaldırıldı. DENIC yöneticilerinin yeni bir girişimi, DNSKEY'de yeni bir anahtarın saklanacağı gerçeğiyle fark edilecektir.

Bundan sonra ne olacak?

Geçmiş DNS verilerine bakıldığında, 33834 anahtarında, en azından SOA girişleriyle birlikte bir sorun olduğu görülüyor. Diğer DNS girişleri herhangi bir zamanda başarıyla imzalanabilir. Karşı önlemler ilk geçersiz imzadan 15 dakika sonra başladı. Bazı karışıklıklara rağmen anahtar, altı SOA imza sunucusunun tamamında kullanılamadı. Arızanın kontrol altında tutulması için 32911 anahtarı ile yeniden imza atılmasına karar verildi.

Şu ana kadar DNSSEC hatasından kaynaklanan böyle bir kesinti .de alan adlarına özeldir. 2022 yılında İsveç'teki .se alan adında DNSSEC nedeniyle sorunlar yaşandı. Rusya'nın 2024 yılında .ru alan adlarıyla DNSSEC sorunu vardı. O dönemde bunun nedeni iki kez atanmış anahtar etiketi kimliğiydi.

DENIC artık sorunun nedenini belirlemekten ve hangi karşı önlemlerin alındığını açıklamaktan sorumludur. İmza sorunlarının test ortamında neden fark edilmediği sorusu da yanıtsız kaldı.

(tatlı patates)