Có một chân lý đẫm nước mắt trong ngành IT mà anh em nào cũng phải thuộc nằm lòng: "Lỗi đ*o bao giờ do DNS, cho đến khi nó là DNS". Hôm nay, đến lượt nguyên cái nước Đức vừa bị "đăng xuất" khỏi thế giới internet theo cách cực kỳ ảo ma.
Hôm nay dạo Hacker News thấy giang cư mận vote đỏ rực cái post .de TLD offline. Chuyện là anh em dev sầu đời bỗng phát hiện ra toàn bộ tên miền đuôi .de (quốc gia Đức) đột nhiên tịt ngòi, phân giải DNS toàn trả về cõi hư vô. Các thanh niên lập tức vác tool của Verisign ra check thì ôi thôi, thấy nguyên một dàn chữ thập đỏ choét, báo lỗi DNSSEC ở tầng Root của nic.de.
Cho ông nào chưa cập nhật công nghệ, DNSSEC giống như cái ổ khóa xịn xò con bò để chống giả mạo DNS. Về lý thuyết thì nó rất bá đạo, nhưng thực tế thì mỗi lần chủ nhà làm rơi chìa hoặc lỗi config là tự nhốt mẹ mình ở ngoài luôn. Và lần này, bác bảo vệ của hệ thống tên miền .de có vẻ vừa làm rớt chìa khóa xuống cống. Kết quả? Nguyên một TLD to đùng ngã ngửa, kéo theo hàng triệu website, email server toang theo. Anh em nào đang chạy vps bên Đức phục vụ khách chắc nãy giờ điện thoại réo như cháy nhà.
Vì sự cố xảy ra quá đột ngột, đa số các tay to còn đang bận đi cứu server, nhưng dạo quanh các diễn đàn thì anh em chia làm 3 phe rõ rệt combat nhau xì khói:
Chốt hạ lại, bài học rút ra ở đây là gì hỡi các đạo hữu?
Thứ nhất, cái gì phức tạp quá thì tỷ lệ "bể" càng cao. Tích hợp bảo mật là tốt, nhưng nếu team hạ tầng tay không đủ to, quy trình không chuẩn thì đừng đú đởn bật DNSSEC, kẻo có ngày tự khóa mõm chính mình.
Thứ hai, khi lỗi ở tầm TLD (Top-Level Domain) thì anh em dev chúng ta cứ tự tin mà gập máy, pha cốc cafe rồi đi ngủ. Vì có muốn hotfix cũng vô phương cứu chữa, việc lúc này là của các lão quái vật bên cơ quan quản lý tên miền rồi. Cứ báo sếp câu "lỗi do thằng cấp phát" rồi té thôi!
Nguồn hóng hớt:
Cả nước Đức bỗng dưng 'đăng xuất' khỏi internet vì một cái ổ khóa mang tên DNSSEC. Chuyện quái gì đang xảy ra với tên miền .de? Hóng ngay drama tại C4F!
