.de TLD, DNSSEC yüzünden çevrimdışı mı?

 (dnssec-analyzer.verisignlabs.com)
1 puan yazan GN⁺ 1 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • nic.de DNSSEC Debugger sonucu, 2026-05-06 00:38:26 UTC itibarıyla olup kökten .de üzerinden nic.de'ye uzanan güven zincirini adım adım doğrular
  • Kök bölge DS=20326/SHA-256 ve DS=38696/SHA-256 içerir; .de delegasyonundaki DS keytag 26755, kökün DNSKEY=54393 imzasıyla doğrulanır
  • .de bölgesi DNSKEY=26755/SEP ve DNSKEY=32911 içerir; DS=26755/SHA-256, .de'nin DNSKEY RRset'ini doğrular
  • nic.de delegasyonunda ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net ad sunucuları bulunur ve DS=26155/SHA-256, .de'nin DNSKEY=32911 anahtarıyla doğrulanır
  • nic.de'nin A kaydı, tüm yetkili ad sunucusu sorgularında 81.91.170.12 olarak doğrulanır; RRSIG=36463 ve DNSKEY=36463 ilgili RRset'i doğrular

nic.de DNSSEC doğrulama akışı

  • İncelenen hedef nic.de'dir ve DNSSEC Debugger ekranında Detail ayarı için more(+) ve less(-) gösterilir
  • Gösterilen zaman 2026-05-06 00:38:26 UTC'dir
  • nic.de'nin DNSSEC durumu dnsviz.net üzerinde de test edilebilir

Kökten .de'ye güven zinciri

  • Kök bölge DNSKEY doğrulaması

    • Kök (.) için DS=20326/SHA-256 ve DS=38696/SHA-256 güven zincirine dahildir
    • j.root-servers.net sunucusuna ./DNSKEY sorgusu yapıldı, 192.58.128.30 adresinden 1139 baytlık yanıt alındı ve yanıt kodu NOERROR oldu
    • Kök bölgede 3 DNSKEY kaydı doğrulandı
      • DNSKEY keytag 54393, bayrak 256, algoritma 8
      • DNSKEY keytag 20326, bayrak 257, algoritma 8
      • DNSKEY keytag 38696, bayrak 257, algoritma 8
    • DNSKEY=20326/SEP ve DNSKEY=38696/SEP güven zincirine dahil edildi ve sırasıyla DS=20326/SHA-256, DS=38696/SHA-256 ile doğrulandı
    • Kök DNSKEY RRset içinde 1 adet RRSIG vardır ve RRSIG=20326 ile DNSKEY=20326/SEP, ilgili DNSKEY RRset'i doğrular
    • DNSKEY=54393 de güven zincirine dahildir

  • Kökten .de delegasyonunun doğrulanması

    • k.root-servers.net sunucusuna nic.de/A sorgusu yapıldı, 193.0.14.129 adresinden 742 baytlık yanıt alındı; yanıt bölümü boştu ve yetki bölümünde .de delegasyon bilgisi yer aldı
    • .de ad sunucuları olarak a.nic.de, f.nic.de, l.de.net, n.de.net, s.de.net, z.nic.de döndü
    • .de için DS kaydı keytag 26755, algoritma 8, digest type 2, SHA-256 digest f341357809a5954311ccb82ade114c6c1d724a75c0395137aa3978035425e78d olarak döndü
    • .de DS RRset içinde RRSIG yer aldı ve imzalayan kökün DNSKEY=54393 anahtarıydı
    • Ek bölümde .de ad sunucularının IPv4/IPv6 adresleri yer aldı
      • a.nic.de: 194.0.0.53, 2001:678:2::53
      • f.nic.de: 81.91.164.5, 2a02:568:0:2::53
      • z.nic.de: 194.246.96.1, 2a02:568:fe02::de
      • l.de.net: 77.67.63.105, 2001:668:1f:11::105
      • n.de.net: 194.146.107.6, 2001:67c:1011:1::53
      • s.de.net: 195.243.137.26, 2003:8:14::53

  • .de DS RRset doğrulaması

    • b.root-servers.net sunucusuna de/DS sorgusu yapıldı, 170.247.170.2 adresinden 366 baytlık yanıt alındı ve yanıt kodu NOERROR oldu
    • Kök bölgede .de için 1 DS kaydı doğrulandı
    • DS=26755/SHA-256, RSASHA256 algoritmasını kullanır
    • .de DS RRset içinde 1 adet RRSIG vardır ve RRSIG=54393 ile DNSKEY=54393, ilgili DS RRset'i doğrular
    • DS=26755/SHA-256 güven zincirine dahildir

  • .de DNSKEY RRset doğrulaması

    • f.nic.de sunucusuna de/DNSKEY sorgusu yapıldı, 81.91.164.5 adresinden 745 baytlık yanıt alındı ve yanıt kodu NOERROR oldu
    • .de içinde 2 DNSKEY kaydı doğrulandı
      • DNSKEY keytag 32911, bayrak 256, algoritma 8, TTL 3600
      • DNSKEY keytag 26755, bayrak 257, algoritma 8, TTL 3600
    • DNSKEY=26755/SEP güven zincirine dahil edildi ve DS=26755/SHA-256, DNSKEY=26755/SEP anahtarını doğrular
    • .de DNSKEY RRset içinde 1 adet RRSIG vardır ve RRSIG=26755 ile DNSKEY=26755/SEP, ilgili RRset'i doğrular
    • DNSKEY=32911 güven zincirine dahildir

.de'den nic.de'ye uzanan delegasyon ve DS doğrulaması

  • nic.de alt bölgesinin doğrulanması

    • l.de.net sunucusuna nic.de/A sorgusu yapıldı, 77.67.63.105 adresinden 464 baytlık yanıt alındı; yanıt bölümü boştu ve yetki bölümünde nic.de delegasyon bilgisi yer aldı
    • nic.de ad sunucuları olarak ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net döndü
    • nic.de DS kaydı keytag 26155, algoritma 8, digest type 2, SHA-256 digest 2f06c8cdf8673a2e98d72c8b7ab6067d9318458b3d9edccde1c5ef793c0c565d olarak döndü
    • nic.de DS RRset içinde RRSIG yer aldı ve imzalayan .de'nin DNSKEY=32911 anahtarıydı
    • Ek bölümde bazı nic.de ad sunucularının adresleri yer aldı
      • ns1.denic.de: 77.67.63.106, 2001:668:1f:11::106
      • ns2.denic.de: 81.91.164.6, 2a02:568:0:2::54
      • ns3.denic.de: 195.243.137.27, 2003:8:14::106
    • l.de.net sunucusuna nic.de/DNSKEY sorgusu yapıldığında da aynı nic.de delegasyonu, DS, RRSIG ve ek adres bilgileri döndü; böylece alt bölge nic.de doğrulandı

  • nic.de DS RRset doğrulaması

    • a.nic.de sunucusuna nic.de/DS sorgusu yapıldı, 194.0.0.53 adresinden 245 baytlık yanıt alındı ve yanıt kodu NOERROR oldu
    • de zonunda nic.de için 1 DS kaydı doğrulandı
    • Doğrulanan DS keytag 26155, algoritma 8, digest type 2 olup SHA-256 tabanlı olarak gösterildi
    • DS RRset içinde 1 adet RRSIG vardır ve RRSIG=32911 ile DNSKEY=32911, DS RRset'i doğrular
    • DS=26155/SHA-256 güven zincirine dahildir
nic.de. 86400 IN DS (
  26155 8 2 2f06c8cdf8673a2e98d72c8b7ab6067d9318458b3d9edccde1c5ef793c0c565d
)

nic.de DNSKEY ve kayıt doğrulaması

  • nic.de DNSKEY doğrulaması

    • ns4.denic.net sunucusuna nic.de/DNSKEY sorgusu yapıldı, 194.246.96.28 adresinden 625 baytlık yanıt alındı ve yanıt kodu NOERROR oldu
    • nic.de içinde 2 DNSKEY kaydı doğrulandı
    • keytag 26155, 257 3 8 biçiminde bir DNSKEY'dir ve DNSKEY=26155/SEP güven zincirine dahildir
    • DS=26155/SHA-256, DNSKEY=26155/SEP anahtarını doğrular
    • DNSKEY RRset içinde 1 adet RRSIG vardır ve RRSIG=26155 ile DNSKEY=26155/SEP, DNSKEY RRset'i doğrular
    • DNSKEY=36463 de güven zincirine dahildir
nic.de. 3600 IN DNSKEY (
  257 3 8 AwEAAb/xrM2MD+xm84YNYby6TxkMaC6PtzF2bB9WBB7ux7iqzhViob4GKvQ6L7CkXjyAxfKbTzrd
  vXoAPpsAPW4pkThReDAVp3QxvUKrkBM8/uWRF3wpaUoPsAHm1dbcL9aiW3lqlLMZjDEwDfU6lxLc
  Pg9d14fq4dc44FvPx6aYcymkgJoYvR6P1wECpxqlEAR2K1cvMtqCqvVESBQV/EUtWiALNuwR2Pbh
  wtBWJd+e8BdFI7OLkit4uYYux6Yu35uyGQ==
) ; keytag 26155

nic.de. 3600 IN DNSKEY (
  256 3 8 AwEAAdkJ06nJ8Cutng7f9HACMUhuYnF0CX7uCZ06CyauTxQIpOQpQBKI03/EPn8fI518pvOqxAO7
  XWaGsSovRyI3UPd963JZpYrEOcVDFPA2Qrz5eFj8MIBKH6HcQGnum0UFxmIRVaKT5K5WM+xeUeP5
  Xr4P54Jkyo18rz0LwzDp9gjj
) ; keytag 36463

  • nic.de A kaydı ve imza doğrulaması

    • ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net sunucularına yapılan nic.de/A sorgularının tümü NOERROR ile yanıtlandı
    • Ad sunucusu bazında yanıt kaynakları ns1.denic.de için 77.67.63.106, ns2.denic.de için 81.91.164.6, ns3.denic.de için 195.243.137.27, ns4.denic.net için 194.246.96.28 oldu
    • Tüm A sorgularında nic.de için A kaydı değeri 81.91.170.12 olarak doğrulandı
    • Her yanıt, nic.de zonunun imzaladığı bir RRSIG içerir ve A RRset içinde 1 adet RRSIG doğrulandı
    • RRSIG=36463 ile DNSKEY=36463, A RRset'i doğrular
nic.de. 3600 IN A 81.91.170.12

nic.de. 3600 IN RRSIG (
  A 8 2 3600 20260519222346 20260505205346 36463 nic.de.
  VIyuPDO6Bf029ILioOvWPhkPmQctDIepz+bK/7s7GS1hHEIZrs/9pDGblfW19sjmVpJGIslYmiGh
  QUDTgJcv8lcWqrfUK3pTv9QxmYRDOMM/zTZz50hqfcNkvzL7dg/7A/yPoPk3aTMXH3pFNY0N2RnU
  t8THHOfUcu3w19fma4w=
)

  • Yetkili ad sunucuları ve SOA yanıtı

    • nic.de için yetkili ad sunucuları olarak ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net yanıtlarda yer aldı
    • ns3.denic.de, ns4.denic.net, ns2.denic.de sunucularına nic.de/SOA sorgusu yapıldı ve hepsi 507 baytlık yanıt ile NOERROR döndürdü
    • SOA kaydı, birincil ad sunucusunu ns1.denic.de. ve sorumlu kişiyi dns-operations.denic.de. olarak gösterir
    • SOA değerleri serial 1778019826, refresh 10800, retry 1800, expire 3600000, minimum 1800 olarak aynıdır
    • SOA yanıtında da RRSIG yer alır ve imzalayan 36463 nic.de. olarak gösterilir
nic.de. 3600 IN SOA (
  ns1.denic.de. dns-operations.denic.de.
  1778019826 ;serial
  10800 ;refresh
  1800 ;retry
  3600000 ;expire
  1800 ;minimum
)

İlgili okumalar

1 yorum

 
GN⁺ 1 시간 전
Hacker News yorumları

  • DNSSEC sorunu gibi görünüyor, nameserver arızası değil. Doğrulama yapan resolver'lar tüm .de adları için EDE ile birlikte SERVFAIL döndürüyor
    dig +cd amazon.de @8.8.8.8 ve dig amazon.de @a.nic.de çalıştığı için zone verisi sağlam görünüyor. DENIC, ZSK 33834 ile doğrulanamayan bir NSEC3 kaydının RRSIG'ini dağıtmış ve bu yüzden tüm doğrulayıcı resolver'lar yanıtları reddediyor
    Arada bir çalışması anycast ile uyumlu. Bazı [a-n].nic.de örnekleri hâlâ önceki geçerli imzayı döndürüyor gibi, bu yüzden yeniden denemelerde bazen sağlıklı yetkili sunucuya ulaşılıyor olabilir. DENIC FAQ'a göre .de ZSK'si her 5 haftada bir pre-publish yöntemiyle değiştiriliyor; yani bu durum rollover başarısızlığı kokuyor

    • Tek bir yerdeki tek bir yapılandırma hatası, büyük bir ekonomik bölgenin dış erişilebilirliğini fiilen yok etmiş oldu. Olay yerel saatle akşam yaşandı ve cache TTL'leri hesaba katılsa bile sabaha kadar düzeltilebilir gibi görünüyor; bu yüzden etkinin kapsamı bir miktar sınırlı kalabilir
      Yine de bu ölçekte kırılgan altyapı siyasi bir risk. İnternetin “hasarlı bölgenin etrafından dolaşır” diye bilinen özelliği burada pek işlemiyor. İlginç bir olay sonrası analiz çıkacak gibi
    • 20 yıldır IT işindeyim ama burada DNSSEC dışında tek bir kısaltmayı bile anlayamıyorum

  • Görünüşe göre DENIC ekibi bu akşam bir partideydi. Eğlenmişler ama dozunu biraz kaçırmamaları gerekirmiş
    https://bsky.app/profile/denic.de/post/3ml4r2lvcjg2h

    • Acil durumda operasyonel bir değişikliği commit edecek, bozulan bakımı geri alacak ya da rollback yapacak kadar yetkinlik, deneyim ve güvene sahip insanların hepsinin tamamen ayık olmadığı bir senaryo; ilginç bir bus factor örneği

  • DNSSEC'yi hiç kullanmadım, uygulamaya da çalışmadım; ama doğru anladıysam, zaten merkezi olmayan DNS'in üstüne tek hata noktası olan bir sertifika katmanı eklenmiş gibi durmuyor mu? Ve şimdi bu sertifikayı yöneten merkezi kuruluşta yaşanan bir arıza yüzünden fiilen tüm alan adları birlikte bozuluyor?

    • .de üst düzey alan adı zaten özünde tek bir kuruluş tarafından yönetiliyor; nameserver'ları düşse durum çok daha iyi olmazdı. Bazı kayıtlar alt resolver'larda cache'lenmiş olurdu ama hepsi değil ve uzun süre de değil
      DNSSEC aslında DNS'i daha merkeziyetsiz hâle getiriyor. DNSSEC olmadan, güvenilir bir yanıtı garanti etmek için doğrudan yetkili nameserver'a sormanız gerekir. DNSSEC ile üçüncü taraf bir cache'li resolver'a sorgu gönderseniz bile, yalnızca meşru yanıtlar geçerli imzaya sahip olacağından ona güvenebilirsiniz
      Benzer şekilde DNSSEC yoksa alan adı sahibi yetkili nameserver'lara mutlak güvenmek zorundadır; çünkü bu sunucular güvenilir görünen sonuçları kolayca sahteleyebilir. DNSSEC ile yetkili nameserver'lara çok daha az güvenmek yeterlidir [0]; böylece bunların bir kısmı güvenli biçimde üçüncü taraflara host edilebilir
      [0]: https://news.ycombinator.com/item?id=47409728
    • DNSSEC, DNS'in merkeziyetsizlik derecesini değiştirmez. DNS zaten en baştan beri hiyerarşik bir yapıydı. Cache olmasa tüm DNS sorguları root DNS sunucularına sorguyla başlardı
      foo.com ya da foo.de için önce root sunucuya sorgu gönderip .com ve .de için hangi nameserver'ların yetkili olduğunu öğrenir, sonra .com veya .de sunucularına foo.com ve foo.de için nameserver'ları sorarsınız. DNSSEC'in yaptığı şey yalnızca bu yanıtlara imza eklemek ve bir sonraki adımın yanıtını doğrulamak için açık anahtarları eklemektir
      Root nameserver IP listesi tüm yerel recursive DNS resolver'lara gömülüdür. Bu liste yıllar içinde yavaş yavaş değişir. DNSSEC'te bu listeye root sunucularının açık anahtarları da eklenir; bunlar da yavaş yavaş değiştirilir
    • Şu an gördüğümüz şey merkeziyetsizliğin çalıştığı bir örnek. Sorun .de üst düzey alan adının operatöründe ve bu yüzden yalnızca o üst düzey alan adı etkileniyor
      DNS, tek bir üst düzey alan adı altyapısının birden fazla kuruluş tarafından işletildiği şekilde merkeziyetsiz değil. Üst düzey alan adları her zaman tek bir tarafça işletilir. .com ve .net Verisign tarafından işletiliyor
      Dolayısıyla operatördeki sorun etki alanını değiştirmiyor

  • Cloudflare artık 1.1.1.1 resolver'ında DNSSEC doğrulamasını devre dışı bırakıyor: https://www.cloudflarestatus.com/incidents/vjrk8c8w37lz

    • Bu noktada DNSSEC'in bittiği söylenebilir gibi
    • Eğer DNSSEC sorununun bir tehdit aktörü nedeniyle çıktığı ortaya çıkarsa, amaçlanan şey bu tür bir alt etkiler zinciri olabilir

  • Thomas Ptacek'in DNSSEC hakkındaki klasik yazısını buraya bırakıyorum
    https://sockpuppet.org/blog/2015/01/15/against-dnssec/

  • İnanılmaz bir olay. Daha önce böyle bir şey olduğunu hatırlamıyorum; hâlâ da düzelmemiş mi? .de, ekonomik açıdan .comdan sonra gelen en önemli kısıtsız domain olabilir. Milyonlarca şirket fiilen “down” olmuş durumda

  • Evet, DENIC'in DNSSEC arızası yüzünden tüm .de domain'leri çöktü
    https://dnsviz.net/d/de/dnssec/

  • Fazla erken gelmişim. Bu başlıkta hâlâ tptacek'in bir tane bile DNSSEC tiradı yok

    • Benim uzun uzun konuşmama ne gerek var? Bazen dünya bunu sizin yerinize yapıyor
    • Bu olay kendi başına zaten her şeyi anlatmıyor mu?

  • Kendi domain'im üzerinden hizmetlere ve uygulamalara hiç bağlanamıyordum, çok stres olmuştum. Sadece mobil veriyle çalışıyordu; en azından bu kez suç benim değilmiş

    • Yine de Almanız, yani suçlayacak birine ihtiyacımız var

  • https://status.denic.de/ üzerinde DNS Nameservice artık “Partial Service Disruption” olarak görünüyor
    Düzeltme: şimdi “Service Disruption” olmuş

    • Dünyanın 3. büyük ekonomisindeki tüm siteler düşmüşken bunun hâlâ “kısmi” hizmet kesintisi sayılması :D
    • Almanya'nın tamamı çevrimdışı ama DENIC buna “Partial Service Disruption” diyor. İlginç bir ifade seçimi
    • Artık “Server Not Found” yazıyor
    • “All Systems Operational”