.de 최상위 도메인, DNSSEC 문제로 내려간 걸까? 로그로 보면 꽤 미묘함

• HN 제목은 .de TLD offline due to DNSSEC?인데, 제공된 로그만 보면 ‘.de 전체가 죽었다’고 말하긴 좀 빡셈

  • 루트 서버 쪽 응답은 NOERROR고, .de에 대한 DS 레코드와 RRSIG도 반환됨
  • .de의 네임서버로 a.nic.de, f.nic.de, l.de.net, n.de.net, s.de.net, z.nic.de가 내려오고, 각각 IPv4와 IPv6 glue 레코드도 같이 보임

• DNSSEC 체인 자체는 단계별로 꽤 많이 보임

  • 루트의 DNSKEY 응답에는 키 태그 38696, 20326, 54393이 보이고, 루트 DNSKEY에 대한 RRSIG도 붙어 있음
  • .de에는 DS 26755 8 2 f341...e78d가 있고, .de 권한 서버는 DNSKEY 키 태그 32911, 26755와 서명을 반환함
  • nic.de 쪽도 .de에서 DS 26155 8 2 2f06...565d로 위임되고, 권한 서버가 DNSKEY 키 태그 36463, 26155를 돌려줌

• nic.de 자체도 A 레코드 응답이 있음

  • 여러 권한 서버가 nic.de. 3600 IN A 81.91.170.12를 반환함
  • 같은 응답에 RRSIG A가 붙어 있어서, 최소한 캡처된 시점의 권한 응답은 서명된 형태로 존재함

• 흥미로운 지점은 nic.de 조회 중간에 응답 주체와 질의 대상이 바뀌며 체인을 계속 따라간다는 점임
  • 루트에서 .de 위임을 받고, .de에서 nic.de 위임을 받고, 마지막으로 nic.de 권한 서버에서 실제 A/SOA/DNSKEY를 확인하는 구조임
  • 운영자가 DNSSEC 문제를 디버깅할 때 보는 전형적인 흐름이라, 장애 대응하는 사람한테는 꽤 익숙한 그림임

---

기술 맥락

• DNSSEC 장애는 그냥 “도메인이 안 열림”으로 끝나는 문제가 아니에요. 부모 존의 DS, 자식 존의 DNSKEY, 실제 레코드의 RRSIG가 서로 맞아야 해서, 한 군데만 어긋나도 검증 리졸버에서는 도메인이 죽은 것처럼 보여요.

• 이 로그에서 중요한 건 NOERROR가 계속 나온다는 점이에요. 권한 서버가 응답을 안 하는 상황과, 응답은 하지만 검증 체인이 깨지는 상황은 대응 방식이 완전히 다르거든요.

• .de처럼 국가 최상위 도메인(ccTLD)은 영향 범위가 엄청 커요. 특정 서비스 하나가 아니라 해당 TLD 아래의 수많은 도메인이 검증 실패 영향을 받을 수 있어서, DS와 DNSKEY 롤오버 타이밍이 특히 민감해요.

• 운영 관점에서는 마지막 A 레코드만 볼 게 아니라, 루트부터 DS -> DNSKEY -> RRSIG가 어떻게 이어지는지 봐야 해요. 이 로그가 바로 그 경로를 보여주기 때문에, 단순 접속 장애보다 DNSSEC 체인 점검 자료에 더 가까워요.