2026年5月5日晚上,一场不大不小的“网络地震”袭击了德国。
从当晚世界协调时(UTC)19:15左右开始,全球大量用户发现,以`.de`结尾的网站突然打不开了。银行、电商、政府门户、大学网站……超过1700万个德国域名集体“掉线”。
不是黑客攻击,不是断电断网。事后查明,元凶是一个看似“为了安全”的技术——DNSSEC,以及德国域名注册局DENIC的一次配置失误。
DNSSEC配置错误导致解析故障
单说,DNSSEC是一项为域名系统增加“签名验证”的技术。它就像给每个网站地址贴上一张防伪标签,确保用户打开的确实是想要访问的网站,而不是被骗子中途劫持的假站。
这个初衷很好,但它有一个“致命副作用”:如果签名本身出了问题,所有正常的应答也会被当作伪造丢掉。
5月5日,DENIC在执行一次例行的密钥更新时,系统内部出现了一个代码错误。这个错误导致为同一个密钥编号生成了三组不同的密钥,而DENIC只对外公布了其中一组密钥的信息。
于是,全球各地的DNS解析器拿着这组公布的密钥去验证`.de`域名的签名时,发现大量签名匹配不上。按照DNSSEC的安全规则,匹配不上的签名一律视为“伪造”。
结果就是:所有`.de`域名的解析请求,全部被拒绝。
即使你的网站没开DNSSEC,也逃不过
更让网站运营者崩溃的是,即使你根本没有在自己的`.de`网站上启用DNSSEC,这次故障依然波及了你。
原因在于DNSSEC的验证是层级传递的。`.de`作为顶级域,它自己的签名出问题,整个链条上的所有子域名都会被连带判定为无效。这种“信任链断裂”的后果,就是整个`.de`域名空间被解析器集体拉黑。
如何恢复?临时“关掉安检”
面对大规模故障,全球主要的公共DNS服务商(如Cloudflare)不得不采取一个非常措施:手动关闭对所有`.de`域名的DNSSEC验证。
这个操作被称为“负信任锚”。通俗地讲,就像机场安检系统坏了,工作人员临时打开侧门让大家先通过——虽然不安全,但总比所有人都堵在外面强。
这个临时措施很快见效,绝大多数用户恢复了访问。几个小时后,DENIC修复了配置错误,服务彻底恢复正常。
三小时的教训
这场持续三个多小时的故障,最终没有造成永久性数据损失,但它给整个互联网行业敲响了警钟:
一项为了保护网络安全而设计的技术,反而因为一次内部配置失误,成为了一场大规模拒绝服务攻击的源头。1770万个域名、数不清的企业和用户,为此付出了三个小时的代价。
安全,从来不只是加一把锁那么简单。如何让复杂的系统在犯错时仍能保持基本的可用性,可能是这次事件留给行业最值得反思的问题。
| 国科云是中国科学院控股有限公司旗下域名注册商,深耕域名相关领域二十余年,客户覆盖80%省部级政府、60%地市级政府、70%头部金融机构、40%央企。国科云提供全后缀域名注册服务,并通过域名监测、域名锁、云解析以及全天候一对一专属人工服务,构建起全方位多层级域名防护体系,为客户域名安全提供全程护航。【点击咨询】
推荐阅读:
“网络洲际导弹”泄露!数亿台iPhone可被静默入侵窃取所有
