.AL'in DNSSEC Rollover'ı Bozuldu, 1.1.1.1 Artık Atlanan Doğrulamayı Bildiriyor
Cloudflare, bozulan .AL DNSSEC rollover'ını Negative Trust Anchor ile onardı ve DNS doğrulamasının atlandığını gösteren yeni bir EDE kodu tanıttı.
3 Temmuz 2026'da Arnavutluk'un ülke kodlu alan adı (ccTLD) operatörü AKEP, .AL için yaptığı DNSSEC anahtar rotasyonunda hata yaptı: kök bölgedeki DS kaydı eski DNSKEY'i işaret ederken yeni bir DNSKEY yayınladı, ardından bu yeni anahtarı da kaldırarak .AL'i hiçbir geçerli DNSKEY'i olmayan bir duruma düşürdü. Doğrulama yapan çözümleyiciler, Cloudflare'in 1.1.1.1'i dahil, .AL sorgularına SERVFAIL döndürmek zorunda kaldı; bu da TLD altındaki devlet, banka ve medya sitelerini erişilemez hale getirdi.
Erişimi geri kazanmak için Cloudflare, RFC 7646'da tanımlanan bir Negative Trust Anchor (NTA) uyguladı; bu, 1.1.1.1'e .AL'i imzasız kabul edip doğrulamayı atlamasını söyledi — iki ay önce benzer bir .DE arızasında kullanılan çözümün aynısı. NTA'lar erişilebilirliği kurtarır ama şeffaflıktan feragat eder: daha önce bir istemci, yalnızca yanıta bakarak doğrulamanın atlandığını anlayamıyordu.
Bu olay için 1.1.1.1, Quad9 ile birlikte geliştirilen bir IETF taslağına dayanan yeni bir Extended DNS Error (EDE) kodunu devreye aldı; bu kod bir NTA'nın etkin olduğunu açıkça bildiriyor. Kesinti sırasında .AL sorguları, EDE 9 (DNSKEY Missing) ile birlikte EDE 33 (Negative Trust Anchor) kodunu döndürdü; böylece istemciler ve izleme araçları, yanıtın geçerli olsa da kriptografik olarak doğrulanmadığını görebildi.
AKEP sonunda kök bölgedeki DS kaydını tamamen kaldırdı, bu da çözümlemeyi geri getirdi ama .AL'i yayın tarihi itibarıyla imzasız bıraktı — bu durum, kayıt operatörü seviyesindeki DNSSEC yanlış yapılandırmalarının tüm bir TLD'yi çökertebileceğinin ve çözümleyici tarafı önlemlerin güvenilir olması için görünür olması gerektiğinin bir hatırlatıcısı.