Falha DNSSEC no .de: Como a Cloudflare Salvou a Resolução com Serve Stale e NTA

No dia 5 de maio de 2026, o TLD .de quebrou. Milhões de domínios alemães sumiram da internet. Enquanto o pânico tomava conta, a Cloudflare ativou um plano de contingência que misturou engenharia ousada com um erro silencioso — e deixou lições que nenhum operador de infraestrutura pode ignorar.

O colapso do .de: uma falha no topo da cadeia

O registro alemão DENIC realizava uma rotação de chave KSK (Key Signing Key), um procedimento crítico e historicamente bem-sucedido. Dessa vez, porém, as novas assinaturas DNSSEC publicadas não puderam ser validadas. O resultado foi imediato e brutal: resolvedores validadores passaram a retornar SERVFAIL para qualquer consulta a domínios .de.

O problema não estava nos sites individuais — estava no topo da hierarquia DNS. Quando o TLD quebra, a zona inteira desaba. Empresas, serviços governamentais e infraestruturas globais que dependiam de origens .de perderam acesso.

“Uma falha no topo da cadeia não é um incidente local — é um terremoto sísmico no DNS global.”

A resposta em duas frentes da Cloudflare

A equipe do 1.1.1.1 acionou um plano de contingência em duas camadas: uma para amortecer o impacto, outra para eliminar a falha por completo.

Serve stale: a primeira linha de defesa

Assim que o SERVFAIL começou a se espalhar, o resolvedor aplicou automaticamente a lógica da RFC 8767. Em vez de retornar erro para consultas de registros em cache, passou a servir respostas válidas e expiradas por um período estendido.

• Efeito imediato: a taxa de SERVFAIL caiu drasticamente para domínios que já estavam em cache.
• Limitação: a proteção é temporária. Quando o TTL expira totalmente, o erro retorna.

Serve stale funcionou como um airbag: segurou o primeiro impacto e deu tempo para a segunda linha de defesa ser ativada.

Negative Trust Anchor: segurança vs. disponibilidade

Enquanto o serve stale segurava o pior, a Cloudflare tomou uma decisão drástica: aplicar uma Negative Trust Anchor (NTA) para tratar a zona .de como não assinada. Na prática, desabilitou a validação DNSSEC para todo o TLD alemão.

A implementação foi não nativa — usou um override interno, sem seguir rigorosamente o RFC 7646. O efeito foi imediato e total: toda resolução para .de voltou a funcionar como se DNSSEC nunca existisse ali.

Tradeoff clássico: disponibilidade vence a segurança em incidentes de TLD. Mas isso expõe os domínios a ataques man‑in‑the‑middle durante a janela de mitigação.

O bug silencioso: Extended DNS Errors que enganam

Nem tudo funcionou perfeitamente. Durante o incidente, o resolvedor 1.1.1.1 reportou EDE 22 (No Reachable Authority) em vez do código correto EDE 6 (DNSSEC Bogus).

Por que isso importa: ferramentas de monitoramento e scripts de diagnóstico interpretam EDE 22 como um problema de conectividade, não como falha de validação DNSSEC. Isso mascara a causa raiz e atrasa a resposta de outros operadores.

A origem do bug estava em um pipeline interno do resolvedor, apelidado de Big Pineapple, que não propagava corretamente o código de erro de validação. A Cloudflare já se comprometeu a corrigir o problema.

“Mesmo em infraestruturas maduras, as camadas de abstração entre validação e resposta de erro podem introduzir falhas de comunicação.”

Impactos e lições para operadores

O incidente deixou marcas técnicas e de mercado que vão além do .de.

Implicações técnicas

• Serve stale (RFC 8767) provou ser essencial para amortecer picos de falha em zonas de topo.
• NTAs operacionais (mesmo não nativas) são um plano B viável quando a cadeia de confiança quebra.
• A correção do EDE é urgente: sem ela, diagnósticos automáticos são enganosos e a confiança no sistema de erros estendidos do DNS fica comprometida.
• Processos de rollover de chave KSK em TLDs precisam de testes exaustivos e validação pós‑publicação antes de entrar em produção.

Riscos e limitações das mitigações

A lição central: não existe mitigação perfeita. A escolha é sempre um balanço entre disponibilidade imediata e exposição a riscos secundários.

O futuro da resiliência DNSSEC

O incidente do .de não é um caso isolado. A cadeia de confiança DNSSEC é tão forte quanto seu elo mais fraco — e, frequentemente, o elo fraco são os processos humanos e automatizados de troca de chaves em zonas de topo.

No futuro, veremos:

1. Automação com validação dupla em rollovers de KSK, com testes em ambientes de staging que replicam resolvedores reais.
2. Adoção disseminada de serve stale como padrão em todos os resolvedores públicos, com tempos de extensão configuráveis.
3. Implementação nativa de Negative Trust Anchors por provedores de resolução, seguindo rigorosamente o RFC 7646 — sem overrides que possam causar efeitos colaterais.
4. Correção e evolução dos Extended DNS Errors para garantir que códigos como EDE 6 sejam propagados corretamente, mesmo em pipelines complexos.

A Cloudflare demonstrou que resiliência operacional não é sobre evitar falhas, mas sobre ter um playbook claro quando elas acontecem. Serve stale e NTAs são ferramentas que todo operador de infraestrutura crítica deve ter no arsenal. O bug do EDE, por sua vez, lembra que a qualidade do diagnóstico é tão importante quanto a qualidade da mitigação.

Resumo prático para operadores:

• Implemente serve stale em seus resolvedores — ele é seu airbag contra falhas de zona.
• Tenha um procedimento documentado para aplicar NTAs, mesmo que não nativas.
• Valide o fluxo de Extended DNS Errors para garantir que erros de validação não sejam mascarados.
• Exija dos registros de TLD testes exaustivos antes de qualquer rotação de chave.

O DNS continuará sendo a fundação da internet. Cabe a nós construir fundações que não desabam quando um tijolo racha.