.de 頂級域名是否因 DNSSEC 問題而斷線？

背景

近期德國國家頂級域名 .de 傳出大規模連線異常，導致包括 Amazon.de、SPIEGEL.de 等知名網站在內的多個域名無法正常解析。根據技術社群的初步觀測，這並非傳統意義上的名稱伺服器斷線，而是與 DNSSEC 安全擴展協議的簽章驗證失敗有關，導致全球多個驗證解析器無法正確處理該區域的請求。

社群觀點

在 Hacker News 的討論中，技術專家們迅速鎖定了問題核心在於 DNSSEC 的信任鏈斷裂。用戶 fweimer 指出，雖然直接查詢 A 紀錄仍能獲得 IP 位址，但一旦啟用 DNSSEC 驗證，系統便會回報加密簽章失敗。具體原因在於 .de 區域的 DS 紀錄所指向的密鑰標籤與現有的 DNSKEY 紀錄不匹配，這種不一致性導致驗證解析器判定該區域不可信。

社群成員 krystofbe 進一步分析認為，這並非單純的伺服器停機，而是 DENIC 在發布 NSEC3 紀錄的 RRSIG 簽章時出現了錯誤，導致簽章無法與特定的區域簽署金鑰（ZSK）對應。由於 DENIC 的 ZSK 每五週會進行一次預發布輪換，這次事故極有可能是金鑰輪換過程中的操作失誤所致。部分用戶反應目前仍能連線，這被解釋為 Anycast 架構下的快取延遲現象，某些節點可能還留存著舊有的正確簽章，但隨著快取失效，受影響的範圍預計會持續擴大。

討論中也觀察到不同解析器的反應差異。用戶 1vuio0pswjnm7 測試發現，部分公共解析器會明確回報 DNSSEC 錯誤，而其他解析器則可能直接回傳 SERVFAIL。這種不穩定的狀態讓許多開發者感到困擾，例如有人發現 bmw.de 可以連線，但加上 www 前綴後卻失效，或是網站因加載位於 .de 域名的 CSS 資源失敗而導致排版崩潰。社群普遍認為，若 DENIC 不儘速修正底層簽章問題，這場災難將隨著快取過期而演變成全德域名的集體離線。

延伸閱讀

• DNSSEC Analyzer (Verisign Labs)：用於診斷 DNSSEC 鏈結完整性的工具，顯示 .de 區域出現多項紅色警告。
• DNSViz：提供視覺化的 DNS 運作分析，詳細記錄了 .de 域名在 DNSSEC 驗證上的失效路徑。