.de TLD가 DNSSEC 때문에 오프라인인가?

• nic.de DNSSEC Debugger 결과는 2026-05-06 00:38:26 UTC 기준이며, 루트에서 .de를 거쳐 nic.de까지 이어지는 신뢰 체인을 단계별로 검증함
• 루트 영역은 DS=20326/SHA-256와 DS=38696/SHA-256를 포함하고, .de 위임의 DS keytag 26755는 루트 DNSKEY=54393 서명으로 검증됨
• .de 영역은 DNSKEY=26755/SEP와 DNSKEY=32911을 포함하며, DS=26755/SHA-256가 .de의 DNSKEY RRset을 검증함
• nic.de 위임에는 네임서버 ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net가 포함되고, DS=26155/SHA-256가 .de의 DNSKEY=32911로 검증됨
• nic.de의 A 레코드는 모든 권한 네임서버 질의에서 81.91.170.12로 확인되며, RRSIG=36463과 DNSKEY=36463이 해당 RRset을 검증함

---

nic.de DNSSEC 검증 흐름

• 검사 대상은 nic.de이며, DNSSEC Debugger 화면에는 Detail 조절 항목으로 more(+)와 less(-)가 표시됨
• 표시 시간은 2026-05-06 00:38:26 UTC임
• nic.de의 DNSSEC 상태는 dnsviz.net에서도 테스트할 수 있음

루트에서 .de까지의 신뢰 체인

• 루트 영역 DNSKEY 검증

  • 루트(.)의 DS=20326/SHA-256와 DS=38696/SHA-256가 신뢰 체인에 포함됨
  • j.root-servers.net에 ./DNSKEY를 질의해 192.58.128.30에서 1139바이트 응답을 받았고, 응답 코드는 NOERROR였음
  • 루트 영역에서 DNSKEY 레코드 3개가 확인됨
    • DNSKEY keytag 54393, 플래그 256, 알고리듬 8
    • DNSKEY keytag 20326, 플래그 257, 알고리듬 8
    • DNSKEY keytag 38696, 플래그 257, 알고리듬 8
  • DNSKEY=20326/SEP와 DNSKEY=38696/SEP가 신뢰 체인에 포함됐고, 각각 DS=20326/SHA-256, DS=38696/SHA-256로 검증됨
  • 루트 DNSKEY RRset에는 RRSIG 1개가 있으며, RRSIG=20326과 DNSKEY=20326/SEP가 해당 DNSKEY RRset을 검증함
  • DNSKEY=54393도 신뢰 체인에 포함됨

• 루트에서 .de 위임 확인

  • k.root-servers.net에 nic.de/A를 질의해 193.0.14.129에서 742바이트 응답을 받았고, 답변 섹션은 비어 있으며 권한 섹션에 .de 위임 정보가 포함됨
  • .de 네임서버로 a.nic.de, f.nic.de, l.de.net, n.de.net, s.de.net, z.nic.de가 반환됨
  • .de의 DS 레코드는 keytag 26755, 알고리듬 8, digest type 2, SHA-256 digest f341357809a5954311ccb82ade114c6c1d724a75c0395137aa3978035425e78d로 반환됨
  • .de DS RRset에는 RRSIG가 포함됐고, 서명자는 루트의 DNSKEY=54393임
  • 추가 섹션에는 .de 네임서버의 IPv4/IPv6 주소가 포함됨
    • a.nic.de: 194.0.0.53, 2001:678:2::53
    • f.nic.de: 81.91.164.5, 2a02:568:0:2::53
    • z.nic.de: 194.246.96.1, 2a02:568:fe02::de
    • l.de.net: 77.67.63.105, 2001:668:1f:11::105
    • n.de.net: 194.146.107.6, 2001:67c:1011:1::53
    • s.de.net: 195.243.137.26, 2003:8:14::53

• .de DS RRset 검증

  • b.root-servers.net에 de/DS를 질의해 170.247.170.2에서 366바이트 응답을 받았고, 응답 코드는 NOERROR였음
  • 루트 영역에서 .de에 대한 DS 레코드 1개가 확인됨
  • DS=26755/SHA-256는 RSASHA256 알고리듬을 사용함
  • .de DS RRset에는 RRSIG 1개가 있으며, RRSIG=54393과 DNSKEY=54393가 해당 DS RRset을 검증함
  • DS=26755/SHA-256가 신뢰 체인에 포함됨

• .de DNSKEY RRset 검증

  • f.nic.de에 de/DNSKEY를 질의해 81.91.164.5에서 745바이트 응답을 받았고, 응답 코드는 NOERROR였음
  • .de에서 DNSKEY 레코드 2개가 확인됨
    • DNSKEY keytag 32911, 플래그 256, 알고리듬 8, TTL 3600
    • DNSKEY keytag 26755, 플래그 257, 알고리듬 8, TTL 3600
  • DNSKEY=26755/SEP가 신뢰 체인에 포함됐고, DS=26755/SHA-256가 DNSKEY=26755/SEP를 검증함
  • .de DNSKEY RRset에는 RRSIG 1개가 있으며, RRSIG=26755와 DNSKEY=26755/SEP가 해당 RRset을 검증함
  • DNSKEY=32911이 신뢰 체인에 포함됨

.de에서 nic.de로 이어지는 위임과 DS 검증

• nic.de 하위 영역 확인

  • l.de.net에 nic.de/A를 질의해 77.67.63.105에서 464바이트 응답을 받았고, 답변 섹션은 비어 있으며 nic.de 위임 정보가 권한 섹션에 포함됨
  • nic.de 네임서버로 ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net가 반환됨
  • nic.de DS 레코드는 keytag 26155, 알고리듬 8, digest type 2, SHA-256 digest 2f06c8cdf8673a2e98d72c8b7ab6067d9318458b3d9edccde1c5ef793c0c565d로 반환됨
  • nic.de DS RRset에는 RRSIG가 포함됐고, 서명자는 .de의 DNSKEY=32911임
  • 추가 섹션에는 일부 nic.de 네임서버 주소가 포함됨
    • ns1.denic.de: 77.67.63.106, 2001:668:1f:11::106
    • ns2.denic.de: 81.91.164.6, 2a02:568:0:2::54
    • ns3.denic.de: 195.243.137.27, 2003:8:14::106
  • l.de.net에 nic.de/DNSKEY를 질의했을 때도 같은 nic.de 위임, DS, RRSIG, 추가 주소 정보가 반환됐고, 하위 영역 nic.de가 확인됨

• nic.de DS RRset 검증

  • a.nic.de에 nic.de/DS를 질의해 194.0.0.53에서 245바이트 응답을 받았고, 응답 코드는 NOERROR였음
  • de 존에서 nic.de에 대한 DS 레코드 1개가 확인됨
  • 확인된 DS는 keytag 26155, 알고리듬 8, digest type 2이며, SHA-256 기반으로 표시됨
  • DS RRset에는 RRSIG 1개가 있으며, RRSIG=32911과 DNSKEY=32911이 DS RRset을 검증함
  • DS=26155/SHA-256이 신뢰 체인에 포함됨

nic.de. 86400 IN DS ( 26155 8 2 2f06c8cdf8673a2e98d72c8b7ab6067d9318458b3d9edccde1c5ef793c0c565d )

nic.de DNSKEY와 레코드 검증

• nic.de DNSKEY 검증

  • ns4.denic.net에 nic.de/DNSKEY를 질의해 194.246.96.28에서 625바이트 응답을 받았고, 응답 코드는 NOERROR였음
  • nic.de에서 DNSKEY 레코드 2개가 확인됨
  • keytag 26155는 257 3 8 형식의 DNSKEY이며, DNSKEY=26155/SEP가 신뢰 체인에 포함됨
  • DS=26155/SHA-256이 DNSKEY=26155/SEP를 검증함
  • DNSKEY RRset에는 RRSIG 1개가 있으며, RRSIG=26155와 DNSKEY=26155/SEP가 DNSKEY RRset을 검증함
  • DNSKEY=36463도 신뢰 체인에 포함됨

nic.de. 3600 IN DNSKEY ( 257 3 8 AwEAAb/xrM2MD+xm84YNYby6TxkMaC6PtzF2bB9WBB7ux7iqzhViob4GKvQ6L7CkXjyAxfKbTzrd vXoAPpsAPW4pkThReDAVp3QxvUKrkBM8/uWRF3wpaUoPsAHm1dbcL9aiW3lqlLMZjDEwDfU6lxLc Pg9d14fq4dc44FvPx6aYcymkgJoYvR6P1wECpxqlEAR2K1cvMtqCqvVESBQV/EUtWiALNuwR2Pbh wtBWJd+e8BdFI7OLkit4uYYux6Yu35uyGQ== ) ; keytag 26155 nic.de. 3600 IN DNSKEY ( 256 3 8 AwEAAdkJ06nJ8Cutng7f9HACMUhuYnF0CX7uCZ06CyauTxQIpOQpQBKI03/EPn8fI518pvOqxAO7 XWaGsSovRyI3UPd963JZpYrEOcVDFPA2Qrz5eFj8MIBKH6HcQGnum0UFxmIRVaKT5K5WM+xeUeP5 Xr4P54Jkyo18rz0LwzDp9gjj ) ; keytag 36463

• nic.de A 레코드와 서명 검증

  • ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net에 대한 nic.de/A 질의가 모두 NOERROR로 응답됨
  • 네임서버별 응답 출처는 ns1.denic.de가 77.67.63.106, ns2.denic.de가 81.91.164.6, ns3.denic.de가 195.243.137.27, ns4.denic.net가 194.246.96.28임
  • 모든 A 질의에서 nic.de의 A 레코드 값은 81.91.170.12로 확인됨
  • 각 응답은 nic.de 존이 서명한 RRSIG를 포함하며, A RRset에는 RRSIG 1개가 확인됨
  • RRSIG=36463과 DNSKEY=36463이 A RRset을 검증함

nic.de. 3600 IN A 81.91.170.12 nic.de. 3600 IN RRSIG ( A 8 2 3600 20260519222346 20260505205346 36463 nic.de. VIyuPDO6Bf029ILioOvWPhkPmQctDIepz+bK/7s7GS1hHEIZrs/9pDGblfW19sjmVpJGIslYmiGh QUDTgJcv8lcWqrfUK3pTv9QxmYRDOMM/zTZz50hqfcNkvzL7dg/7A/yPoPk3aTMXH3pFNY0N2RnU t8THHOfUcu3w19fma4w= )

• 권한 네임서버와 SOA 응답

  • nic.de의 권한 네임서버로 ns1.denic.de, ns2.denic.de, ns3.denic.de, ns4.denic.net가 응답에 포함됨
  • ns3.denic.de, ns4.denic.net, ns2.denic.de에 nic.de/SOA를 질의했으며, 모두 507바이트 응답과 NOERROR를 반환함
  • SOA 레코드는 ns1.denic.de.를 주 네임서버로, dns-operations.denic.de.를 담당자로 표시함
  • SOA 값은 serial 1778019826, refresh 10800, retry 1800, expire 3600000, minimum 1800으로 동일함
  • SOA 응답에도 RRSIG가 포함되며, 서명자는 36463 nic.de.로 표시됨

nic.de. 3600 IN SOA ( ns1.denic.de. dns-operations.denic.de. 1778019826 ;serial 10800 ;refresh 1800 ;retry 3600000 ;expire 1800 ;minimum )