Sự cố DNSSEC tại tên miền .AL: Cloudflare giới thiệu giải pháp EDE 33 để tăng tính minh bạch
Sau sự cố gián đoạn tên miền .AL do lỗi cấu hình DNSSEC, Cloudflare đã triển khai mã lỗi EDE 33 mới trên 1.1.1.1 nhằm thông báo cho người dùng khi quá trình xác thực DNSSEC bị bỏ...
Vào ngày 3 tháng 7 năm 2026, cơ quan quản lý viễn thông Albania (AKEP) đã gặp sự cố nghiêm trọng trong quá trình thực hiện DNSSEC key rollover cho tên miền quốc gia (TLD) .AL. Lỗi này khiến các bản ghi DNSSEC không hợp lệ, dẫn đến việc các trình phân giải DNS (DNS resolver) có hỗ trợ xác thực, bao gồm cả 1.1.1.1 của Cloudflare, từ chối phản hồi và gây gián đoạn truy cập cho hàng loạt dịch vụ chính phủ, ngân hàng và truyền thông tại Albania.
Table Of Content
Giải pháp Negative Trust Anchor (NTA)
Tương tự như sự cố với tên miền .DE tại Đức trước đó, Cloudflare đã áp dụng Negative Trust Anchor (NTA) cho .AL. NTA cho phép trình phân giải tạm thời bỏ qua việc xác thực DNSSEC để khôi phục khả năng truy cập cho người dùng. Tuy nhiên, vấn đề của NTA là tính “âm thầm”: người dùng hoặc ứng dụng không thể biết liệu phản hồi họ nhận được đã được xác thực hay chỉ là kết quả được trả về sau khi bỏ qua kiểm soát bảo mật.
Tăng cường minh bạch với EDE 33
Để khắc phục khoảng trống này, Cloudflare đã tiên phong triển khai mã lỗi Extended DNS Error (EDE) 33. Khi một NTA được kích hoạt, trình phân giải 1.1.1.1 sẽ đính kèm mã EDE 33 vào phản hồi DNS. Điều này cung cấp thông tin rõ ràng cho các công cụ giám sát và người dùng rằng: mặc dù phản hồi là hợp lệ, nhưng nó không được xác thực bởi DNSSEC do đang nằm trong phạm vi áp dụng NTA.
Trong sự cố .AL, phản hồi DNS đi kèm với hai mã lỗi: EDE 9 (DNSKEY Missing) để chỉ ra lỗi gốc của hệ thống và EDE 33 (Negative Trust Anchor) để thông báo về hành động can thiệp của trình phân giải. Sự kết hợp này giúp các kỹ sư mạng và hệ thống giám sát có cái nhìn đầy đủ về trạng thái thực tế của truy vấn.
Hướng tới tiêu chuẩn hóa
Mã lỗi EDE 33 hiện đã được IANA cấp phép và đang được đề xuất lên nhóm làm việc DNSOP của IETF để trở thành tiêu chuẩn chung. Cloudflare hy vọng rằng các nhà vận hành trình phân giải khác sẽ sớm áp dụng cơ chế này để tăng tính minh bạch cho toàn bộ hệ sinh thái DNS. Hiện tại, các công cụ như kdig từ dự án Knot đã bắt đầu hỗ trợ nhận diện mã lỗi này.
Việc sử dụng NTA là một biện pháp mạnh tay nhưng cần thiết khi xảy ra sự cố TLD diện rộng. Với EDE 33, Cloudflare đã giải quyết được bài toán cân bằng giữa khả năng duy trì dịch vụ và tính minh bạch trong bảo mật DNS.
Nguồn tham khảo: Cloudflare Blog



No Comment! Be the first one.