.de alan adlarıyla ilgili sorunlar: Şu ana kadar bilinenler

5 Mayıs akşamı, .de alan adlarıyla hizmetleri ve web sitelerini yöneten birçok yönetici için hoş bir akşam değildi: Akşam saat 22.00'den kısa bir süre önce, izleme sistemleri alarm verdi, müşteriler ve çalışanlar destek vakalarını tetikledi ve sorun giderme işlemleri başladı; web sitelerine erişilemedi, uygulamalar çalışmadı ve VPN bağlantıları başarısız oldu. Ancak bunun nedeni hizmet operatörlerinde değil, merkezi bir noktadaydı: .de bölgesinin Etki Alanı Adı Sisteminde (DNS), ya da daha doğrusu onların DNSSEC yapılandırmasında.

DENIC eG konfigürasyondan sorumludur ve şu ana kadar olayla ilgili yalnızca kısa bilgi vermiştir. Çarşamba günü ortalık yatıştı, aksamalar ortadan kalktı ve olaylara ilişkin bazı ayrıntılar netleşti. DNS verilerine bakıldığında kesin nedeni yalnızca DENIC'in açıklayabildiği görülüyor; hala bir açıklama bekleniyor. Olayları yeniden yapılandırmak için dnsviz.net servisinin kaydettiği geçmiş DNS kayıtlarını inceledik.

Ne oldu

DNSSEC, DNS yanıtlarını dijital imzalar kullanılarak manipülasyona karşı korumakla görevlidir. DNSSEC olmadan saldırganlar, istemci ile çözümleyici arasındaki trafiği yakalayıp değiştirerek yanıtlar oluşturabilir. DNSSEC, asimetrik şifrelemeyle, yani genel ve özel anahtarlardan oluşan anahtar çiftleriyle çalışır. Genel anahtarlar, DNS'deki DNSKEY tipi bir girişte saklanır. Yanıtları imzalamak için daha kısa bölge imzalama anahtarları (ZSK) vardır ve bunlar da daha uzun bir anahtar imzalama anahtarıyla (KSK) imzalanır.

DNS yanıtının bütünlüğü, istek sahibinin anahtarlarına güvenmesi gereken kök bölgeden başlayarak adım adım kontrol edilir. Dijital olarak imzalanmış kök bölge, üst düzey etki alanının sorumlu ad sunucularına işaret eder – bu özel durumda .de. Bu alan adından sorumlu isim sunucusuna geçerli, imzalı bir referans sağlarlarsa sorgulanacaktır. Yol boyunca bir imza bozulursa tüm zincirin kopmuş olduğu kabul edilir ve ad çözümlemesi başarısız olur. Bu, manipülasyona karşı koruma sağlayan istenen davranıştır.

Bölge imzalama anahtarları üst düzey etki alanı düzeyinde düzenli aralıklarla değiştirilir. Bu, geniş kapsamlı sonuçları olan merkezi bir adım olduğundan, birkaç adımda gerçekleşir: 2 Mayıs'ta, .de bölgesinden sorumlu kişi olarak DENIC, 33834 kimliğine sahip yeni bir genel anahtar duyurdu. Bu, yeni girişin DNS'de yaygınlaşmasıyla zamanında gerçekleşti. Şimdilik yeni anahtarla imzalama yapılmadı; eski anahtar 32911 devraldı. 33834, ilk olarak 5 Mayıs 21:43'te (19:43 UTC) .de bölgesinin SOA girişi için bir imzada (RRSIG) imzalama anahtarı olarak göründü. SOA, “Yetki Başlangıcı” anlamına gelir; giriş, bölgenin kendisi hakkında bilgiler içerir. Bu imza hala belirsiz olan nedenlerden dolayı geçersizdi. Dnsviz.com'un verileri şunu gösteriyor: Şu anda, 6 sorumlu isim sunucusunun tümü bu kusurlu imzayı 33834 anahtarıyla teslim etti.

Akşam saat 21.59 civarında ilk karşı önlemler belli oldu: O andan itibaren isim sunucularından biri olan n.de.net, SOA girişi için yeni 33834 anahtarıyla imzalanmış geçerli bir imzaya sahip yeni bir RRSIG girişi sağladı. Diğer beş sunucu sahte imzayı yaymaya devam etti.

Akşam 22:27'de yeni bir resim ortaya çıktı: n.de.net yine geçersiz bir imza gönderdi, şimdi a.nic.de ve z.nic.de'nin eski 33834 anahtarıyla geçerli girişleri vardı – ancak IPv4 ve IPv6 aracılığıyla farklı girişler vardı. Aynı zamanda z.nic.de'de de kırık bir imza ortaya çıktı. Saat 22:31'de bir sonraki durum meydana geldi; artık beş sunucu yeni anahtar 33834 ile doğru bir şekilde imza atabildi ve yalnızca bu başarıyı zaten başarmış olan n.de.net girişinde hatalıydı. Sadece üç dakika sonra bir değişiklik için herkes yanlış cevap verdi ve sunuculardan kısa aralıklarla farklı kombinasyonlar geldi ve bunların hepsi geçersizdi.

Saat 22:50'ye gelindiğinde sunucuların çoğu eski imzayla ortak geçerli bir imza üzerinde anlaşmıştı, yalnızca n.de.net hedeften biraz daha uzaktaydı. Bu durum ilk kez 6 Mayıs 1:15'te (23:15 UTC) değişti ve tüm sunucular yine doğru yanıtlara sahip oldu – henüz mükemmel olmasa da: a.nic.de ve z.nic.de paralel olarak iki imza gönderdi, en azından ikisi de geçerliydi. 1:17'de nihayet istenen durum geldi: Altı isim sunucusu geçerli bir imza oluşturabildi. Altı ad sunucusunun tamamını aynı anda 33834 ile imzalamaya ikna etmek mümkün olmadığından, bu noktada herkes 32911 anahtarına geçmişti, dolayısıyla anahtar değişimi tersine çevrilmişti. 6 Mayıs öğleden sonrasına kadar hiçbir şey değişmemişti ve şu ana kadar 33834 anahtarını yeniden yerleştirme girişiminde bulunulmamıştı.

Yeni anahtarın kariyeri başlamadan bitti – 33834 anahtarının DNSKEY girişi en son 1:12'de görüldü. 1:15'te tüm isim sunucularından kaldırıldı. DENIC'teki sorumluların yeni bir girişimi, DNSKEY'de yeni bir anahtarın saklanacağı gerçeğiyle anlaşılacaktır.

Bundan ne sonuç çıkıyor?

Geçmiş DNS verilerine bakıldığında şunu görüyoruz: 33834 anahtarında, en azından SOA girişleriyle bağlantılı olarak bir sorun vardı. Diğer DNS girişleri herhangi bir zamanda başarıyla imzalanabilir. Karşı önlemler ilk geçersiz imzadan 15 dakika sonra başladı. Bazı karışıklıklara rağmen, anahtarı altı sunucunun tamamında SOA imzaları için kullanmak mümkün değildi. Arızanın kontrol altına alınabilmesi için 32911 anahtarı ile tekrar imza atılmasına karar verildi.

DNSSEC hatasından kaynaklanan böyle bir kesinti şu ana kadar .de alan adlarına özgü bir durum. 2022 yılında İsveç'teki .se alan adında DNSSEC nedeniyle sorunlar yaşandı. Rusya'da 2024 yılında .ru alan adlarıyla DNSSEC sorunu yaşandı. O dönemde bunun nedeni, iki kez atanan anahtar etiketi kimliğiydi.

DENIC artık sorunun nedenini belirlemekten ve hangi karşı önlemlerin alındığını açıklamaktan sorumludur. İmza sorunlarının neden test ortamında fark edilmediği sorusu da cevapsız.

(yam)