.de TLD가 DNSSEC 때문에 오프라인인가?

 (dnssec-analyzer.verisignlabs.com)
1P by GN⁺ 3시간전 | ★ favorite | 댓글 1개
  • nic.de DNSSEC Debugger 결과는 2026-05-06 00:38:26 UTC 기준이며, 루트에서 .de를 거쳐 nic.de까지 이어지는 신뢰 체인을 단계별로 검증함
  • 루트 영역은 DS=20326/SHA-256DS=38696/SHA-256를 포함하고, .de 위임의 DS keytag 26755는 루트 DNSKEY=54393 서명으로 검증됨
  • .de 영역은 DNSKEY=26755/SEPDNSKEY=32911을 포함하며, DS=26755/SHA-256.deDNSKEY RRset을 검증함
  • nic.de 위임에는 네임서버 ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net가 포함되고, DS=26155/SHA-256.deDNSKEY=32911로 검증됨
  • nic.deA 레코드는 모든 권한 네임서버 질의에서 81.91.170.12로 확인되며, RRSIG=36463DNSKEY=36463이 해당 RRset을 검증함

nic.de DNSSEC 검증 흐름

  • 검사 대상은 nic.de이며, DNSSEC Debugger 화면에는 Detail 조절 항목으로 more(+)less(-)가 표시됨
  • 표시 시간은 2026-05-06 00:38:26 UTC
  • nic.de의 DNSSEC 상태는 dnsviz.net에서도 테스트할 수 있음

루트에서 .de까지의 신뢰 체인

  • 루트 영역 DNSKEY 검증

    • 루트(.)의 DS=20326/SHA-256DS=38696/SHA-256가 신뢰 체인에 포함됨
    • j.root-servers.net./DNSKEY를 질의해 192.58.128.30에서 1139바이트 응답을 받았고, 응답 코드는 NOERROR였음
    • 루트 영역에서 DNSKEY 레코드 3개가 확인됨
      • DNSKEY keytag 54393, 플래그 256, 알고리듬 8
      • DNSKEY keytag 20326, 플래그 257, 알고리듬 8
      • DNSKEY keytag 38696, 플래그 257, 알고리듬 8
    • DNSKEY=20326/SEPDNSKEY=38696/SEP가 신뢰 체인에 포함됐고, 각각 DS=20326/SHA-256, DS=38696/SHA-256로 검증됨
    • 루트 DNSKEY RRset에는 RRSIG 1개가 있으며, RRSIG=20326DNSKEY=20326/SEP가 해당 DNSKEY RRset을 검증함
    • DNSKEY=54393도 신뢰 체인에 포함됨

  • 루트에서 .de 위임 확인

    • k.root-servers.netnic.de/A를 질의해 193.0.14.129에서 742바이트 응답을 받았고, 답변 섹션은 비어 있으며 권한 섹션에 .de 위임 정보가 포함됨
    • .de 네임서버로 a.nic.de, f.nic.de, l.de.net, n.de.net, s.de.net, z.nic.de가 반환됨
    • .de의 DS 레코드는 keytag 26755, 알고리듬 8, digest type 2, SHA-256 digest f341357809a5954311ccb82ade114c6c1d724a75c0395137aa3978035425e78d로 반환됨
    • .de DS RRset에는 RRSIG가 포함됐고, 서명자는 루트의 DNSKEY=54393
    • 추가 섹션에는 .de 네임서버의 IPv4/IPv6 주소가 포함됨
      • a.nic.de: 194.0.0.53, 2001:678:2::53
      • f.nic.de: 81.91.164.5, 2a02:568:0:2::53
      • z.nic.de: 194.246.96.1, 2a02:568:fe02::de
      • l.de.net: 77.67.63.105, 2001:668:1f:11::105
      • n.de.net: 194.146.107.6, 2001:67c:1011:1::53
      • s.de.net: 195.243.137.26, 2003:8:14::53

  • .de DS RRset 검증

    • b.root-servers.netde/DS를 질의해 170.247.170.2에서 366바이트 응답을 받았고, 응답 코드는 NOERROR였음
    • 루트 영역에서 .de에 대한 DS 레코드 1개가 확인됨
    • DS=26755/SHA-256RSASHA256 알고리듬을 사용함
    • .de DS RRset에는 RRSIG 1개가 있으며, RRSIG=54393DNSKEY=54393가 해당 DS RRset을 검증함
    • DS=26755/SHA-256가 신뢰 체인에 포함됨

  • .de DNSKEY RRset 검증

    • f.nic.dede/DNSKEY를 질의해 81.91.164.5에서 745바이트 응답을 받았고, 응답 코드는 NOERROR였음
    • .de에서 DNSKEY 레코드 2개가 확인됨
      • DNSKEY keytag 32911, 플래그 256, 알고리듬 8, TTL 3600
      • DNSKEY keytag 26755, 플래그 257, 알고리듬 8, TTL 3600
    • DNSKEY=26755/SEP가 신뢰 체인에 포함됐고, DS=26755/SHA-256DNSKEY=26755/SEP를 검증함
    • .de DNSKEY RRset에는 RRSIG 1개가 있으며, RRSIG=26755DNSKEY=26755/SEP가 해당 RRset을 검증함
    • DNSKEY=32911이 신뢰 체인에 포함됨

.de에서 nic.de로 이어지는 위임과 DS 검증

  • nic.de 하위 영역 확인

    • l.de.netnic.de/A를 질의해 77.67.63.105에서 464바이트 응답을 받았고, 답변 섹션은 비어 있으며 nic.de 위임 정보가 권한 섹션에 포함됨
    • nic.de 네임서버로 ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net가 반환됨
    • nic.de DS 레코드는 keytag 26155, 알고리듬 8, digest type 2, SHA-256 digest 2f06c8cdf8673a2e98d72c8b7ab6067d9318458b3d9edccde1c5ef793c0c565d로 반환됨
    • nic.de DS RRset에는 RRSIG가 포함됐고, 서명자는 .deDNSKEY=32911
    • 추가 섹션에는 일부 nic.de 네임서버 주소가 포함됨
      • ns1.denic.de: 77.67.63.106, 2001:668:1f:11::106
      • ns2.denic.de: 81.91.164.6, 2a02:568:0:2::54
      • ns3.denic.de: 195.243.137.27, 2003:8:14::106
    • l.de.netnic.de/DNSKEY를 질의했을 때도 같은 nic.de 위임, DS, RRSIG, 추가 주소 정보가 반환됐고, 하위 영역 nic.de가 확인됨

  • nic.de DS RRset 검증

    • a.nic.denic.de/DS를 질의해 194.0.0.53에서 245바이트 응답을 받았고, 응답 코드는 NOERROR였음
    • de 존에서 nic.de에 대한 DS 레코드 1개가 확인됨
    • 확인된 DS는 keytag 26155, 알고리듬 8, digest type 2이며, SHA-256 기반으로 표시됨
    • DS RRset에는 RRSIG 1개가 있으며, RRSIG=32911DNSKEY=32911DS RRset을 검증함
    • DS=26155/SHA-256이 신뢰 체인에 포함됨
nic.de. 86400 IN DS (
  26155 8 2 2f06c8cdf8673a2e98d72c8b7ab6067d9318458b3d9edccde1c5ef793c0c565d
)

nic.de DNSKEY와 레코드 검증

  • nic.de DNSKEY 검증

    • ns4.denic.netnic.de/DNSKEY를 질의해 194.246.96.28에서 625바이트 응답을 받았고, 응답 코드는 NOERROR였음
    • nic.de에서 DNSKEY 레코드 2개가 확인됨
    • keytag 26155257 3 8 형식의 DNSKEY이며, DNSKEY=26155/SEP가 신뢰 체인에 포함됨
    • DS=26155/SHA-256DNSKEY=26155/SEP를 검증함
    • DNSKEY RRset에는 RRSIG 1개가 있으며, RRSIG=26155DNSKEY=26155/SEPDNSKEY RRset을 검증함
    • DNSKEY=36463도 신뢰 체인에 포함됨
nic.de. 3600 IN DNSKEY (
  257 3 8 AwEAAb/xrM2MD+xm84YNYby6TxkMaC6PtzF2bB9WBB7ux7iqzhViob4GKvQ6L7CkXjyAxfKbTzrd
  vXoAPpsAPW4pkThReDAVp3QxvUKrkBM8/uWRF3wpaUoPsAHm1dbcL9aiW3lqlLMZjDEwDfU6lxLc
  Pg9d14fq4dc44FvPx6aYcymkgJoYvR6P1wECpxqlEAR2K1cvMtqCqvVESBQV/EUtWiALNuwR2Pbh
  wtBWJd+e8BdFI7OLkit4uYYux6Yu35uyGQ==
) ; keytag 26155

nic.de. 3600 IN DNSKEY (
  256 3 8 AwEAAdkJ06nJ8Cutng7f9HACMUhuYnF0CX7uCZ06CyauTxQIpOQpQBKI03/EPn8fI518pvOqxAO7
  XWaGsSovRyI3UPd963JZpYrEOcVDFPA2Qrz5eFj8MIBKH6HcQGnum0UFxmIRVaKT5K5WM+xeUeP5
  Xr4P54Jkyo18rz0LwzDp9gjj
) ; keytag 36463

  • nic.de A 레코드와 서명 검증

    • ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net에 대한 nic.de/A 질의가 모두 NOERROR로 응답됨
    • 네임서버별 응답 출처는 ns1.denic.de77.67.63.106, ns2.denic.de81.91.164.6, ns3.denic.de195.243.137.27, ns4.denic.net194.246.96.28
    • 모든 A 질의에서 nic.de의 A 레코드 값은 81.91.170.12로 확인됨
    • 각 응답은 nic.de 존이 서명한 RRSIG를 포함하며, A RRset에는 RRSIG 1개가 확인됨
    • RRSIG=36463DNSKEY=36463A RRset을 검증함
nic.de. 3600 IN A 81.91.170.12

nic.de. 3600 IN RRSIG (
  A 8 2 3600 20260519222346 20260505205346 36463 nic.de.
  VIyuPDO6Bf029ILioOvWPhkPmQctDIepz+bK/7s7GS1hHEIZrs/9pDGblfW19sjmVpJGIslYmiGh
  QUDTgJcv8lcWqrfUK3pTv9QxmYRDOMM/zTZz50hqfcNkvzL7dg/7A/yPoPk3aTMXH3pFNY0N2RnU
  t8THHOfUcu3w19fma4w=
)

  • 권한 네임서버와 SOA 응답

    • nic.de의 권한 네임서버로 ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net가 응답에 포함됨
    • ns3.denic.de, ns4.denic.net, ns2.denic.denic.de/SOA를 질의했으며, 모두 507바이트 응답과 NOERROR를 반환함
    • SOA 레코드는 ns1.denic.de.를 주 네임서버로, dns-operations.denic.de.를 담당자로 표시함
    • SOA 값은 serial 1778019826, refresh 10800, retry 1800, expire 3600000, minimum 1800으로 동일함
    • SOA 응답에도 RRSIG가 포함되며, 서명자는 36463 nic.de.로 표시됨
nic.de. 3600 IN SOA (
  ns1.denic.de. dns-operations.denic.de.
  1778019826 ;serial
  10800 ;refresh
  1800 ;retry
  3600000 ;expire
  1800 ;minimum
)

함께 보면 좋은 글 β

GN⁺ 3시간전  [-]
Hacker News 의견들

  • DNSSEC 문제로 보이고, 네임서버 장애는 아닌 듯함. 검증하는 리졸버들이 모든 .de 이름에 대해 EDE와 함께 SERVFAIL을 반환하고 있음
    dig +cd amazon.de @8.8.8.8dig amazon.de @a.nic.de는 동작하므로 존 데이터는 온전해 보임. DENIC이 ZSK 33834로 검증되지 않는 NSEC3 레코드의 RRSIG를 배포했고, 그래서 모든 검증 리졸버가 응답을 거부하는 상황임
    간헐적으로 되는 건 애니캐스트와 맞음. 일부 [a-n].nic.de 인스턴스가 아직 이전의 정상 서명을 내보내서, 재시도 때 가끔 정상 권한 서버에 닿는 것 같음. DENIC FAQ에 따르면 .de ZSK는 5주마다 사전 공개 방식으로 교체되니, 롤오버 실패 냄새가 남

    • 한 곳의 설정 실수 하나로 주요 경제권의 외부 접근성이 날아간 셈임. 현지 시간 저녁에 발생했고, 캐시 TTL을 감안해도 아침까지는 고칠 수 있을 테니 피해 범위는 어느 정도 제한될 듯함
      그래도 이 수준에서 취약한 인프라는 정치적 위험임. 인터넷이 “손상된 곳을 우회한다”는 유명한 특성이 여기서는 잘 작동하지 않음. 흥미로운 사후 분석이 나올 것 같음
    • IT 일을 20년 했는데 여기서 DNSSEC 말고는 약어를 하나도 못 알아듣겠음

  • DENIC 팀이 오늘 저녁 파티에 있었던 듯함. 신나게 놀되, 너무 과하진 말았어야 함
    https://bsky.app/profile/denic.de/post/3ml4r2lvcjg2h

    • 긴급 상황에서 운영 변경을 커밋하거나, 망친 유지보수를 되돌리거나, 롤백할 만큼 자격·경험·신뢰를 갖춘 사람들이 전부 완전히 맨정신이 아닌 시나리오라니 흥미로운 버스 팩터

  • DNSSEC를 써본 적도 없고 구현하려고 애쓴 적도 없는데, 이해한 게 맞다면 원래 탈중앙화된 DNS 위에 단일 장애점 인증서 계층을 얹은 셈 아닌가 싶음. 이제 그 인증서를 관리하는 중앙 조직 장애 때문에 사실상 모든 도메인이 같이 깨지는 상황임?

    • .de 최상위 도메인은 본질적으로 단일 조직이 관리하고, 그 네임서버가 내려가도 상황은 크게 낫지 않음. 일부 레코드는 하위 리졸버에 캐시되겠지만 전부는 아니고 오래가지도 않음
      DNSSEC는 오히려 DNS를 더 탈중앙화함. DNSSEC가 없으면 신뢰할 수 있는 응답을 보장하려면 권한 네임서버에 직접 물어야 함. DNSSEC가 있으면 제3자 캐싱 리졸버에 질의해도, 정당한 응답만 유효한 서명을 가지므로 신뢰할 수 있음
      마찬가지로 DNSSEC가 없으면 도메인 소유자는 권한 네임서버를 절대적으로 신뢰해야 함. 그 서버들이 신뢰된 결과를 쉽게 위조할 수 있기 때문임. DNSSEC가 있으면 권한 네임서버를 훨씬 덜 신뢰해도 되므로 [0], 일부를 제3자에게 안전하게 호스팅할 수 있음
      [0]: https://news.ycombinator.com/item?id=47409728
    • DNSSEC는 DNS의 탈중앙화 정도를 바꾸지 않음. DNS는 원래 계층 구조였음. 캐시가 없다면 모든 DNS 질의는 루트 DNS 서버 질의에서 시작함
      foo.com이나 foo.de의 경우 먼저 루트 서버에 질의해 .com.de를 담당하는 네임서버를 알아내고, 그다음 .com 또는 .de 서버에 foo.comfoo.de의 네임서버를 물어봄. DNSSEC가 하는 일은 이 응답들에 서명을 붙이고, 다음 단계 응답을 인증할 수 있도록 공개키를 추가하는 것뿐임
      루트 네임서버 IP 목록은 모든 로컬 재귀 DNS 리졸버에 포함되어 있음. 이 목록은 수년에 걸쳐 천천히 바뀜. DNSSEC에서는 이 목록에 루트 서버들의 공개키도 포함되고, 이것도 천천히 교체됨
    • 지금 보이는 건 탈중앙화가 작동하는 모습임. 문제는 .de 최상위 도메인 운영자에게 있고, 그래서 그 최상위 도메인만 영향받음
      DNS는 하나의 최상위 도메인 인프라를 여러 조직이 운영하는 식으로 탈중앙화되어 있지 않음. 최상위 도메인은 항상 단일 주체가 운영함. .com.net은 Verisign이 운영함
      그러니 운영자에게 생긴 문제가 영향 범위를 바꾸지는 않음

  • Cloudflare가 이제 1.1.1.1 리졸버에서 DNSSEC 검증을 비활성화함: https://www.cloudflarestatus.com/incidents/vjrk8c8w37lz

    • 이쯤 되면 DNSSEC는 끝났다고 봐도 될 듯함
    • DNSSEC 문제가 위협 행위자 때문에 발생한 것으로 드러난다면, 이런 하위 영향을 노린 것일 수도 있음

  • Thomas Ptacek의 DNSSEC 관련 명문을 여기 남겨둠
    https://sockpuppet.org/blog/2015/01/15/against-dnssec/

  • 미친 일임. 이런 사고가 전에 있었는지 기억도 안 나는데 아직도 안 고쳐졌나? .de는 경제적 관점에서 .com 다음으로 중요한 제한 없는 도메인일 가능성이 큼. 수백만 개 기업이 “다운”된 셈임

  • 맞음, DENIC의 DNSSEC 실패 때문에 모든 .de 도메인이 내려감
    https://dnsviz.net/d/de/dnssec/

  • 너무 일찍 온 듯함. 아직 이 스레드에 tptacek의 DNSSEC 장광설이 하나도 없음

    • 내가 뭘 길게 떠들 필요가 있겠음? 가끔은 세상이 대신 떠들어 줌
    • 이 사건 자체가 이미 말해주는 것 아닌가?

  • 내 도메인으로 서비스와 앱에 전혀 연결이 안 돼서 엄청 스트레스받고 있었음. 휴대폰 데이터로만 동작했는데, 이번엔 내 잘못이 아니라서 다행임

    • 그래도 우리는 독일인이라 탓할 누군가가 필요함

  • https://status.denic.de/에서 DNS Nameservice가 이제 “Partial Service Disruption”이라고 표시됨
    수정: 이제 “Service Disruption”으로 바뀜

    • 세계 3위 경제권의 모든 사이트가 내려가도 여전히 “부분적” 서비스 장애라니 :D
    • 독일 전체가 오프라인인데 DENIC은 “Partial Service Disruption”이라고 함. 표현 방식 하나는 독특함
    • 이제 “Server Not Found”라고 뜸
    • “All Systems Operational”
답변달기