





























德國 .de 域名 DNSSEC 嚴重故障
數百萬網站一齊「斷網」 Cloudflare 救場
【DNS 大爆炸 ..㊙️】Cloudflare 近日公布了一宗 DNS 重大事故:德國國家級頂級域名(ccTLD)「.de」於 2026 年 5 月 5 日爆發大規模技術故障。由於註冊局 DENIC 在執行例行密鑰輪轉(Key Rollover)時出現失誤,導致 DNSSEC 數碼簽署失效,引發全球多家 DNS 伺服器安全驗證失敗,數百萬個 .de 域名網站一齊「斷網」。Cloudflare 隨即使用了「負向信任錨」(Negative Trust Anchors,簡稱 NTA)機制緊急止血。
事故發生於協調世界時(UTC)5 月 5 日約 19:30。負責管理 .de 域名的註冊局 DENIC 更換了錯誤的 DNSSEC 簽署。DNSSEC 本意是透過加密技術確保 DNS 紀錄未遭竄改,從而建立起一套由 Root Zone 延伸至各級域名的信任鏈。
然而,當 DENIC 發布錯誤的簽署時,全球遵循標準規範的 DNS 解析器(如 Cloudflare DNS 或 Google DNS)會因無法確認紀錄的真實性,基於安全考量而必須拒絕請求,並回傳 SERVFAIL 錯誤碼,最終導致德國境內大量政府、企業及個人網站全數斷網。
由於這次故障屬於頂級域名(TLD)層級的配置失誤,並非個別網站遭受攻擊,Cloudflare 最終決定將網絡連通性的優先級別定於安全驗證之上,透過內部機制對 .de 區域套用類似「負向信任錨」(NTA)的策略,強制將該網域標記為「不安全」,暫時繞過 DNSSEC 驗證程序。
此舉雖然短暫讓 .de 域名暴露於潛在的 DNS 欺騙風險中,但成功讓 1.1.1.1 用戶恢復正常存取,消除了大規模的 SERVFAIL 錯誤。
DENIC 隨後證實,故障與例行密鑰輪轉有關,目前已暫停後續的輪轉操作,直至查明根本原因。Cloudflare 則在報告中坦承,其 DNS 解析器在處理這類錯誤時,回傳的 DNS 錯誤碼不夠精確;未來將改善錯誤訊息內容,以便開發者及用戶區分到底是網絡連線問題,還是 DNSSEC 驗證失敗。
資料來源:
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。