CEVIU Logo
Voltar
Falha no DNSSEC do .AL expõe vulnerabilidade e Cloudflare inova com bypass de validação

Falha no DNSSEC do .AL expõe vulnerabilidade e Cloudflare inova com bypass de validação

Aprofundamento CEVIU

Aprofundamento

O incidente do .AL em 3 de julho de 2026 não foi só uma falha operacional, foi um teste de estresse para a arquitetura de confiança do DNS. O domínio google.al, por exemplo, ficou inacessível para qualquer cliente usando resolvedores que validam DNSSEC, como o 1.1.1.1 antes da intervenção. Isso aconteceu porque a cadeia de confiança se quebrou duas vezes: primeiro com um DS na raiz apontando para uma chave DNSKEY que já não existia no .AL; depois com a remoção total das chaves DNSKEY sem restaurar a antiga, deixando a zona sem nenhuma assinatura válida. A Cloudflare reagiu com uma Negative Trust Anchor (NTA), mas dessa vez fez algo novo: usou o código EDE 33 para sinalizar explicitamente, dentro da própria resposta DNS, que a validação havia sido ignorada. Não é só um bypass técnico, é uma mudança de contrato entre resolvedor e cliente.

Essa abordagem contrasta com o que ocorreu no incidente do .DE em maio de 2026, coberto pela CEVIU em 7 de junho de 2026. Naquela ocasião, a Cloudflare aplicou uma NTA, mas sem transparência técnica na resposta: o cliente recebia um NOERROR idêntico ao de um domínio plenamente validado. Agora, com o EDE 33, ferramentas de observabilidade, scripts de monitoramento e até clientes DNS avançados conseguem distinguir, em tempo real, quando uma resposta está livre de spoofing por DNSSEC, ou quando ela está sendo entregue sob uma exceção operacional explícita. É um passo concreto rumo à operação de infraestrutura como código: onde cada decisão de contorno tem seu log estruturado embutido no protocolo.

O que mudou

A diferença entre o incidente do .DE (maio de 2026) e o do .AL (julho de 2026) não está no uso da NTA, esse mecanismo já era padrão desde então. Está na forma como a Cloudflare comunicou sua aplicação. Em maio, a NTA foi invisível para quem consumia a resposta DNS. Em 3 de julho de 2026, pela primeira vez, o 1.1.1.1 devolveu o EDE 33 junto com cada resposta para google.al e demais domínios .AL, transformando uma medida de emergência em um evento auditável. Também corrigiu o erro de diagnóstico anterior: agora, além do EDE 33, inclui o EDE 9 (DNSKEY Missing), identificando com precisão a causa raiz, algo que não aconteceu no caso do .DE, conforme relatado pela CEVIU em 7 de junho de 2026.

Por que isso importa

Para equipes de SRE e DevOps, isso muda como se faz observabilidade de DNS. Um alerta baseado apenas em SERVFAIL perdeu relevância: agora é possível diferenciar entre falha de rede, timeout de autoritativo e falha intencional de validação. Para equipes de segurança, o EDE 33 permite integrar verificações de integridade DNSSEC diretamente em pipelines CI/CD, por exemplo, bloquear deploy se um domínio crítico estiver respondendo com EDE 33 sem justificativa documentada. E para provedores de nuvem, é um aviso claro: resiliência não é só manter o serviço funcionando, mas garantir que cada atalho operacional seja rastreável, audível e reversível, sem depender de status pages ou comunicação fora de banda.

Linha do tempo

  1. Falha no DNSSEC do .DE torna milhões de domínios alemães inacessíveis; Cloudflare aplica NTA sem transparência técnica

  2. Cloudflare lança imposição do primeiro AS no BGP para conter sequestros de rotas

  3. Cloudflare responde à vulnerabilidade Linux 'Copy Fail'

  4. Interrupção de duas horas na Base expõe riscos de sequenciador único

  5. Falha no DNSSEC do .AL interrompe acesso a google.al e outros domínios; Cloudflare aplica NTA e introduz EDE 33

  6. Cloudflare lança Meerkat, serviço experimental de consenso distribuído

  7. Cloudflare anuncia publicamente a adoção do EDE 33 como padrão operacional após o incidente do .AL

Perguntas frequentes

O que é exatamente o EDE 33 e por que ele é diferente dos outros códigos de erro DNS?

O EDE 33 (Negative Trust Anchor) é um código de erro estendido definido no RFC 8914 que indica, dentro da própria resposta DNS, que o resolvedor ignorou a validação DNSSEC por meio de uma Negative Trust Anchor. Diferente de erros genéricos como SERVFAIL, ele não sinaliza falha, mas sim uma decisão operacional consciente. É a primeira vez que essa informação aparece diretamente no protocolo, sem necessidade de consultar logs externos ou páginas de status.

Se o .AL ainda está sem DNSSEC, o google.al está vulnerável a ataques de spoofing?

Sim, enquanto o .AL permanecer sem registro DS na raiz, como está desde 3 de julho de 2026, nenhum domínio sob .AL pode usar DNSSEC. Isso significa que respostas para google.al não são criptograficamente verificáveis. Um atacante com controle sobre um resolvedor intermediário ou rede local poderia injetar respostas falsas. A proteção depende agora de camadas adicionais, como HTTPS e HSTS, não do DNS.

Por que a Cloudflare não esperou o .AL resolver o problema sozinho?

A Cloudflare tentou contato direto com a AKEP, mas os próprios endereços de suporte estavam sob .AL, e ficaram inacessíveis durante a falha. Sem resposta e com serviços críticos do governo albanês, bancos e mídia fora do ar, a empresa agiu em menos de três horas. A decisão seguiu o mesmo critério usado no .DE: falha pública, generalizada e sem previsão de correção imediata. A NTA foi removida no dia seguinte, assim que o DS foi retirado da raiz.

Outros resolvedores, como o Google DNS ou Quad9, já implementam o EDE 33?

Não. Até 15 de julho de 2026, a Cloudflare é o único resolvedor público a implementar o EDE 33. A ferramenta kdig do projeto Knot já reconhece o código pelo nome, e há uma pull request em revisão para o Unbound. Mas o BIND, o CoreDNS e o systemd-resolved ainda não o suportam. A padronização depende da discussão no IETF em Viena, marcada para 18 a 24 de julho de 2026.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU DevOps
Publicado
15 de julho de 2026
Editoria
CEVIU DevOps

Quer receber mais sobre CEVIU DevOps?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser
Falha no DNSSEC do .AL expõe vulnerabilidade e Cloudflare