Когато DNSSEC ъпдейтите се объркат: Какво стана с .DE домейните през май 2026

DNS е като телефонния указател на мрежата, но много по-критичен. Малко хора мислят за него, докато не спре да работи. На 5 май 2026 г. .DE регистърът прекъсна услугите за три часа. Милioni немски домейни станаха недостъпни. Не заради хакерска атака или счупено хардуер. Причината беше дребен бъг в кода за DNSSEC подписи, който се промъкна през тестовете.

DNSSEC накратко и защо е важен

DNSSEC е криптографска защита срещу фалшиви DNS отговори и посредници. Когато питаш домейн с DNSSEC, сървърите проверяват подписите, за да са сигурни, че данните са истински.

За TLD като .DE това е огромна отговорност. През април 2026 те пуснаха трето поколение DNSSEC инфраструктура. Използваха Knot DNS, собствени инструменти и HSM модули за милиони домейни. Тестовете минаха. Аудиторите кимнаха. Всичко изглеждаше перфектно.

После дойде 5 май.

Бъгът, който срути всичко

По време на ротация на DNSSEC ключове системата създаде три различни ключови двойки вместо една. За Key Tag 33834. Само един ключ влезе в публичния DNSKEY запис, който резолвърите ползват за проверка.

Резултат: Две от трите подписи не се валидираха. Около две трети от подписите станаха безполезни.

Като нотариус, който пъхне три печата на документ, но само един е регистриран. Съдът отхвърля двата.

Виновникът? Бъг в собствения код. Преглежданията, тестовете и дори "студеният паралелен старт" (нова система до старата, без да пуснат на живо) не го хванаха. Edge case-ът липсваше от сценариите.

Защо качественият контрол не помогна?

Регистърът имаше три инструмента за мониторинг, които работят 24/7. Те откриха проблема веднага – невалидни DNSSEC подписи.

Но алертите не стигнаха до хората. Автоматиката работеше, но връзката към операторите фалира. Класическа грешка в ескалацията. Резултат: Три часа мрак за милиони.

Ланецът от последствия

.DE зоните връщат "referral responses" – "Този домейн не е при мен, ето nameserver-а му". Включват delegation и NSEC3 записи за доказване на липсващи данни.

Когато NSEC3 подписите са грешни, резолвърите отбелязват delegation-а като "Bogus". Цялото делегиране става невалидно. Дори домейни без DNSSEC не се решават.

Ефектът е като дъмно: Грешка на върха руши хиляди невинни домейни отдолу.

Големите – Cloudflare, Google – бързо изключиха DNSSEC за .DE. Това спаси техните клиенти. Но за малки ISP или строги резолвъри домейните изчезнаха.

Уроци за твоята инфраструктура

Ако управляваш регистър, голям DNS или зависиш от .DE, ето какво да запомниш:

1. Тестовете не са всичко (но са задължителни)
Използваха Knot, аудитиран код и пълни сценарии. Бъгът все пак избяга. Проблемът е в пропуските. За DNSSEC подписи мисли за edge cases, които тестовете не покриват.

2. Мониторингът иска действие
Откриването не стига. Трябват ясни пътища за ескалация, инженери на пост и право да спрат ъпдейта. Тук мониторингът имаше, реакцията – не.

3. DNSSEC реже и в двете посоки
Подобрява сигурността, но грешка в родителската зона руши децата. Мери blast radius-а. Паралелният тест може да продължи по-дълго. Проверявай с независими системи преди живо.

4. Резерв всичко на слоеве
Големите резолвъри се справиха, като изключиха валидацията. Малките – не. Помисли как ще се оправят твоите системи при подобно.

Какво следва

Услугите се върнаха вечерта на 6 май. .DE обещава детайлен пост-мортем. Това е правилният подход – споделяне за общи уроци, не за срам.

Ако ръководиш DNS, този случай е лекция. Сложността, автоматиката и дребните бъгове създават проблеми, дори когато всички вършат работата си. Не е "DNSSEC е лошо" или "регистърът е несръчен". Става дума за бдителност, скромност и преглед на предположенията.

В стратегията ти за домейни гледай не само регистратора, а мониторинга им, тестовете и реакцията при криза. Защото грешките идват. Разликата правят тези, които ги хващат.

В NameOcean държим на прозрачност и солиден мониторинг на DNS и hosting. Ако те притеснява надеждността на домейните ти, пиши ни. (Не твърдим, че сме неуязвими за бъгове – просто ги хващаме преди да излязат на свобода.)