5 Mayıs günü saat 21.43'te İnternet'in Almanya kısmında bir kriz yaşandı: .de ile biten adreslere erişmeye çalışan herkes yalnızca bir hata mesajı aldı – en azından DNS sunucusu doğrulanmış DNSSEC imzaları kullanıyorsa. Gece saat 01.00'den sonra sorun tamamen çözüldü. Bu etki alanlarını yöneten DENIC eG, .de bölgesinin DNSSEC yapılandırmasından sorumludur. Bu artık sorunlara ilişkin açıklamalar sağlamıştır.
Reklamdan sonra devamını okuyun
DENIC'in blog yazısı, DNS sunucularının, .cz alanının yöneticisi olan Çek alan yönetimi kuruluşu CZ.NIC tarafından sağlanan açık kaynaklı bir sunucu hizmeti olan Knot yazılımını kullandığını gösteriyor. Knot, DENIC'te “donanım güvenlik modülleri (HSM'ler) ile birlikte şirket içi geliştirmeler” ile birlikte çalışır. Nisan 2026'da bu altyapı üçüncü nesle dönüştürüldü.
Anahtar çarpışma
Bölge imzalama anahtarının düzenli değişimi 2 Mayıs'ta başladı. 33834 numaralı yeni bir genel anahtar, ilk kez imzalama için kullanılmadan 3 gün önce yayınlandı. Hiç kimsenin şüphelenmediği şey, kodun kendi geliştirdiği kısmında, sunucularda 33834 etiketli üç anahtar çiftinin oluşturulmasına neden olan bir hata olduğu, ancak bu numara altında yalnızca bir ortak anahtarın yayınlandığıydı. Bu anahtar SOA girişlerini imzalamak için ilk kez kullanıldığında, dnsviz.com gibi bir araçla izlenebilen tuhaf bir hata modeli ortaya çıktı: Altı DENIC ad sunucusundan yalnızca bazıları genel anahtarla eşleşen doğru özel anahtarı kullandı, diğerleri her zaman geçersiz imzalar verdi. SOA kaydı sık sık değiştirilir çünkü her bölge değişikliğinde bu kayıttaki seri numarası da değişir. Bu, mevcut verilerin ayrıntılı analizinde daha önce gözlemlediğimiz ileri geri hareketlerle örtüşmektedir.
DENIC'ten sorumlu olanlar, kendi kendine oluşturulan yazılımdaki bir kod bölümünün “test senaryoları tarafından tamamen kapsanmadığını ve bu nedenle test çalıştırmaları sırasında veya devreye almadan önce 'soğuk' paralel çalışmada kusurlu olarak tanınmadığını” belirtiyor ve ayrıca bölgede üç test aracının kullanıldığını ve bunların hepsinin etkili olduğunu – “ancak mesajlar doğru şekilde işlenmediğini” vurguluyor.
Kumar: Bölgedeki her değişiklikte seri numarası değişir ve yeni bir imza gerekir. Hata, altı sunucunun aynı kimliğe sahip üç anahtardan birini kullanmasına neden oldu. Yalnızca bir tanesi ortak anahtarla eşleşti.
Açıklama henüz tam bir netlik sağlamıyor. Şirket içi geliştirmelerin kodu açık kaynak değildir, kullanılan donanım güvenlik modülünün adı verilmemiştir ve anahtar çarpışmasının test ortamlarında değil de yalnızca üretken sistemde meydana geldiği koşullar açıklanmamıştır. Sonuçta soruşturma tamamlandığında daha fazla bilgi vereceklerine söz veriyorlar.
Etkilenen tüm alanlar
Reklamdan sonra devamını okuyun
DENIC, blog yazısında, yalnızca DNSSEC'in aktif olduğu alanların etkilendiği yönündeki geceki ifadeyi de düzeltiyor. Bu iddia, kesinti sırasındaki gözlemlerle tutarlı değildi. SOA girişinin yanı sıra NSEC3 girişlerinin de etkilendiği doğrudur. NSEC3, trafiğe müdahale eden bir saldırganın, yalnızca “DNSSEC bu etki alanı için devre dışı bırakıldı” yanıtını göndererek DNSSEC'yi yenmesini engeller. NSEC3, varolmadığının kriptografik bir kanıtıdır. Geçerli NSEC3 girişleri olmadan DNSSEC kontrolü tüm .de etki alanları için başarısız oldu.
Çözüm
DENIC'in yazdığı gibi dava henüz kapanmadı. DENIC, sorunun kesin bir açıklamasına (en iyi ihtimalle kod dahil) ek olarak, böyle bir sorunun gelecekte nasıl tanımlanabileceğine ilişkin planlı önlemlerin bir listesini henüz yayınlamadı. Yalnızca alan adlarına yönelik DNSSEC altyapısının operatörleri değil, diğer TLD operatörleri de bu tür bulgulardan faydalanacaktır. Üst düzey etki alanı düzeyinde anahtar çarpışmalarla ilgili sorunlar yeni bir şey değil: 2024'te .ru TLD'nin Rus operatörü bir kesinti yaşadı ve bunun sorumlusu da anahtar çarpışmasıydı.
(yam)
Bir yanıt yazın