Toelichting op de storing van 28 oktober
Gepubliceerd op 02-11-2012
In de loop van zondag 28 oktober ontstond een foutsituatie bij het publiceren van een nieuwe ZSK (Zone Signing Key). Daardoor konden DNSSEC-beveiligde .nl-domeinen niet goed gevalideerd worden. De problemen duurden maximaal twee uur. Inmiddels heeft SIDN maatregelen genomen om de gevolgen van de fout in de toekomst te voorkomen. De onderliggende oorzaak is nog in onderzoek.
Om nog onduidelijke redenen was OpenDNSSEC, de software die SIDN gebruikt om de domeinen te ondertekenen, vastgelopen. Daardoor stokte de publicatie van de .nl zone file. Vervolgens ontstond er een discrepantie tussen de vermeende situatie in OpenDNSSEC en de werkelijke situatie in het DNS .
Te korte pre-publication
Zo kon het gebeuren dat de ZSK met key tag 20331 al werd gebruikt om domeinen te signeren, terwijl de bijbehorende DNSKEY nog maar net was gepubliceerd. Als gevolg daarvan verschenen nieuwe RRSIG records in de DNS, die door resolvers die de oude DNSKEY nog in hun cache hadden staan natuurlijk niet goed gevalideerd konden worden.
De problemen bij de validerende resolvers ontstonden ongeveer om 20:45. Ze verdwenen vanzelf bij het verversen van de resolver caches, dat wil zeggen na een herstart of na het verstrijken van de TTL. Dat betekent dat binnen maximaal twee uur het sleutelmateriaal sowieso overal ververst was en alle DNSSEC -beveiligde zones overal weer goed gevalideerd werden.
