5 Mayıs günü saat 21.43'te İnternet'in Almanya tarafında bir kriz meydana geldi: .de uzantılı adreslere erişmeye çalışan herkes, en azından DNS sunucusunun doğrulanmış DNSSEC imzaları kullanması durumunda yalnızca bir hata mesajı aldı. Ancak gece saat 1'den sonra sorun tamamen çözüldü. Bu etki alanlarını yöneten DENIC eG, .de bölgesinin DNSSEC yapılandırmasından sorumludur. Bu artık sorunlara ilişkin açıklamalar sağlamıştır.
Duyurudan sonra devamını okuyun
DENIC'in blog yazısı, DNS sunucularının, .cz alanının yöneticisi olan Çek alan yönetimi kuruluşu CZ.NIC tarafından işletilen açık kaynaklı bir sunucu hizmeti olan Knot yazılımını kullandığını gösteriyor. Knot, DENIC'te “donanım güvenlik modülleri (HSM'ler) ile birlikte dahili gelişmeler” ile işbirliği yapıyor. Nisan 2026'da bu altyapı üçüncü nesle dönüştürüldü.
Anahtar çarpışma
Bölgenin imza anahtarının düzenli değişimi 2 Mayıs'ta başladı. 33834 numaralı yeni bir genel anahtar, imzalama için ilk kez kullanılmadan 3 gün önce yayınlandı. Hiç kimsenin şüphelenmediği şey, kodun kendi geliştirdiği kısmında, sunucularda 33834 etiketli üç anahtar çiftinin oluşturulmasına neden olan bir hatanın bulunması, ancak bu numarayla yalnızca bir ortak anahtarın yayınlanmasıydı. Bu anahtar SOA girişlerini imzalamak için ilk kez kullanıldığında, dnsviz.com gibi bir araçla izlenebilen garip bir hata modeli oluştu: altı DENIC ad sunucusundan yalnızca bazıları genel anahtarla eşleşen doğru özel anahtarı kullandı, diğerleri her zaman geçersiz imzalar sağladı. SOA kaydı sık sık değiştirilir çünkü her bölge değiştiğinde bu kayıttaki seri numarası da değişir. Bu, mevcut verilerin ayrıntılı analizinde daha önce gözlemlediğimiz gidişatlarla örtüşmektedir.
DENIC yöneticileri, evde oluşturulan yazılımdaki kodun bir kısmının “test senaryoları tarafından tamamen kapsanmadığını ve bu nedenle test yürütme sırasında veya devreye almadan önce 'soğuk' paralel operasyonda kusurlu olarak tanınmadığını” belirtiyor ve ayrıca alanda üç test aracının kullanıldığını, bunların hepsinin etkili olduğunu – “ancak mesajların doğru şekilde işlenmediğini” belirtiyor.

Kumar: Her bölge değişikliğinde seri numarası değişir ve yeni bir imza gerekir. Hata, altı sunucunun aynı kimliğe sahip üç anahtardan birini kullanmasına neden oldu. Yalnızca bir tanesi ortak anahtarla eşleşti.
Açıklama henüz tam bir netlik sağlamıyor. Dahili geliştirmelerin kodu açık kaynak değildir, kullanılan donanım güvenlik modülünün adı verilmemiştir ve anahtar çarpışmasının test ortamlarında değil de yalnızca üretim sisteminde meydana geldiği koşullar açıklanmamıştır. Sonuçta soruşturma tamamlandıktan sonra daha fazla bilgi vereceklerine söz veriyorlar.
Etkilenen tüm alanlar
Duyurudan sonra devamını okuyun
DENIC, blog yazısında yalnızca DNSSEC'in aktif olduğu alanların etkilendiği geceye ilişkin açıklamasını da düzeltti. Bu açıklama kesinti sırasında yapılan gözlemlerle tutarsızdı. SOA girişinin yanı sıra NSEC3 girişlerinin de etkilendiği doğrudur. NSEC3, trafik sıkışıklığı yaşayan bir saldırganın yalnızca “DNSSEC bu etki alanı için devre dışı bırakıldı” yanıtını göndererek DNSSEC'yi yenmesini engeller. NSEC3, varolmadığının kriptografik bir kanıtıdır. Geçerli NSEC3 girişleri olmadan DNSSEC kontrolü tüm .de etki alanları için başarısız oldu.
Çözüm
DENIC'in yazdığı gibi dava henüz kapanmadı. DENIC, sorunun kesin bir açıklamasının (en iyi ihtimalle kod dahil) yanı sıra, böyle bir sorunun gelecekte nasıl tanımlanabileceğine ilişkin planlı önlemlerin bir listesini henüz yayınlamadı. Bu tür bulgular yalnızca alan adları için DNSSEC altyapısının operatörlerine değil aynı zamanda diğer TLD operatörlerine de fayda sağlayacaktır. Üst düzey etki alanı düzeyindeki önemli çarpışma sorunları yeni bir şey değil: 2024 yılında .ru TLD'nin Rus operatörü bir kesinti yaşadı ve bunun sorumlusu bir anahtar çarpışmasıydı.
(tatlı patates)
Bir yanıt yazın