Sự cố DNSSEC tại Denic khiến hàng loạt website .de tê liệt, internet Đức chao đảo nhiều giờ

Denic, đơn vị quản lý tên miền cấp cao quốc gia .de của Đức, đã lên tiếng xin lỗi sau khi một sự cố kỹ thuật liên quan đến hệ thống DNSSEC khiến nhiều website lớn ngừng hoạt động trong nhiều giờ vào tối 5/5. Theo thông báo của tổ chức này, lỗi được phát hiện lúc 21:57 và các biện pháp khắc phục hoàn tất vào khoảng 01:15. Sau thời điểm đó, phần lớn website được cho là đã hoạt động trở lại bình thường.

Denic cho biết sự cố bắt nguồn từ DNSSEC, viết tắt của Domain Name System Security Extensions — bộ mở rộng bảo mật cho DNS, tức hệ thống phân giải tên miền giúp chuyển đổi địa chỉ web như example.de thành địa chỉ IP để máy tính có thể kết nối. Cụ thể, các chữ ký DNSSEC bị lỗi đã được phân phối, dẫn tới việc các truy vấn tên miền không thể được xác thực chính xác. Nói đơn giản, khi lớp bảo mật này tạo hoặc phát tán dữ liệu sai, trình phân giải DNS có thể coi tên miền là không đáng tin cậy và từ chối truy cập website.

Đến nay, Denic vẫn chưa công bố đầy đủ nguyên nhân gốc rễ của trục trặc. Một số chuyên gia và bình luận viên trong ngành phỏng đoán vấn đề có thể liên quan đến quá trình ‘zone signing key rollover’ — thao tác thay đổi khóa ký vùng, tức khóa mật mã dùng để ký dữ liệu DNSSEC cho một nhóm bản ghi tên miền. Đây là quy trình nhạy cảm vì nếu khóa mới, khóa cũ và chuỗi xác thực không đồng bộ, website có thể bị coi là không hợp lệ. Tuy nhiên, Denic chưa xác nhận đây là lời giải thích chính thức và cho biết sẽ công bố thêm sau khi hoàn tất điều tra.

Do lỗi nằm ở DNSSEC, chỉ các tên miền .de đã bật cơ chế bảo mật này mới gặp sự cố. Theo số liệu từ ICANN — tổ chức điều phối hệ thống tên miền và địa chỉ Internet toàn cầu — chỉ khoảng 3,6% tên miền .de sử dụng DNSSEC. Dù tỷ lệ này có vẻ nhỏ, nó vẫn tương đương hàng trăm nghìn tên miền vì tổng số tên miền .de đang đăng ký hiện vào khoảng 18 triệu. Điều đó giải thích vì sao tác động thực tế vẫn rất rộng, đặc biệt khi nhiều dịch vụ lớn nằm trong nhóm đã triển khai xác thực bảo mật.

Dữ liệu từ phiên bản Đức của Downdetector — dịch vụ theo dõi báo cáo gián đoạn trực tuyến từ người dùng — cho thấy đã có hàng nghìn phản ánh liên quan đến các website lớn như Amazon, DHL, Steam và Web.de trong cùng khung thời gian Denic xác nhận sự cố. Nhiều báo cáo không chính thức trên mạng cũng cho biết eBay cùng một số trang tin tức phổ biến tại Đức rơi vào tình trạng không thể truy cập. Quy mô ảnh hưởng cho thấy chỉ cần một lỗi ở tầng hạ tầng tên miền cũng đủ làm rung chuyển hàng loạt dịch vụ quen thuộc với người dùng cuối.

DNSSEC được thiết kế để chống lại các hình thức tấn công như DNS spoofing — hay giả mạo phản hồi DNS, khi kẻ xấu đánh lừa người dùng truy cập nhầm sang máy chủ độc hại. Công nghệ này bổ sung cơ chế xác thực bằng chữ ký số để trình phân giải DNS kiểm tra xem thông tin nhận được có thực sự đến từ nguồn hợp lệ hay không. Về lý thuyết, đây là lớp bảo vệ quan trọng cho hạ tầng Internet. Tuy nhiên, trên thực tế DNSSEC lại nổi tiếng là phức tạp, khó vận hành và có thể làm tăng độ trễ xử lý do phải thêm bước xác minh. Tệ hơn, nếu cấu hình sai ở cấp nhà đăng ký hoặc cơ quan quản lý tên miền, chính lớp bảo mật này có thể khiến website bị ‘tự khóa’ khỏi Internet.

Dù bắt đầu được phổ biến rộng từ năm 2010, trong bối cảnh các cuộc tấn công DNS gia tăng mạnh từ khoảng năm 2008, DNSSEC đến nay vẫn chưa được triển khai rộng rãi. Phần lớn các tên miền cấp cao, hay TLD (top-level domain) — phần đuôi như .com, .org hoặc .de — đều có tỷ lệ dùng DNSSEC dưới 10%. Một số ngoại lệ gồm Hà Lan, Thụy Điển, Czechia và Trung Quốc, nơi mức độ áp dụng cao hơn đáng kể. Tuy vậy, với đa số nhà vận hành website, DNSSEC vẫn bị xem là một công nghệ bảo mật hữu ích nhưng rắc rối.

Vụ việc của Denic có thể tiếp tục thổi bùng tranh luận lâu nay trong giới hạ tầng mạng: liệu DNSSEC có đang trở thành một ‘thí nghiệm thất bại’ vì độ phức tạp vượt quá lợi ích thực tế đối với nhiều tổ chức hay không. Những lo ngại này không mới, đặc biệt sau các sự cố từng xảy ra tại những nơi khác như New Zealand vào năm 2023, khi lỗi ở cấp registry — tức đơn vị quản lý cơ sở dữ liệu tên miền gốc cho một đuôi tên miền — cũng có thể khiến website đồng loạt ngoại tuyến. Trường hợp tại Đức là lời nhắc mạnh mẽ rằng trong thế giới Internet hiện đại, chỉ một sai sót nhỏ ở lớp nền tảng như DNS cũng có thể nhanh chóng biến thành khủng hoảng diện rộng.