Když DNSSEC selže: Co se stalo s výpadkem .DE domén v květnu 2026

DNS je páteř internetu. Většina lidí na něj nemyslí, dokud nefunguje. Pátého května 2026 došlo k tříhodinovému výpadku u registru .DE. Postihlo to miliony německých domén. Důvod? Ne hacker, ne hardware. Jen chybný kód v DNSSEC systému, který prošel všemi testy.

Co je DNSSEC a proč je důležitý

DNSSEC chrání před útoky na DNS. Přidává kryptografické podpisy, aby resolvers ověřily, že odpověď není podvržená. Pro registr .DE to znamená obří zodpovědnost. Spravují miliony domén.

V dubnu 2026 spustili třetí verzi systému. Použili Knot DNS, vlastní nástroje a HSM moduly. Testovali to. Auditovali externí firmy. Vše vypadalo v pořádku.

Pak přišel 5. květen.

Chyba, která všechno zlomila

Během rotace DNSSEC klíčů systém udělal blamáž. Místo jednoho klíčového páru pro tag 33834 vytvořil tři. Do DNSKEY záznamu se dostal jen jeden. Zbývající podpisy tak resolvers odmítly.

Představte si notáře s třemi razítky. Soud uzná jen jedno. Dva dokumenty padnou.

Problém? Bug v vlastním kódu. Recenze, testy i paralelní běh staré a nové verze ho neodhalily. Edge case v testech chyběl.

Proč to QA nechytilo

Registr měl tři validační nástroje. Běžely nonstop. Zachytily chybu v reálném čase. Ale upozornění se ztratila. Automatika fungovala, lidé nezasáhli.

Takto selže předání od stroje k člověku. Výsledek? Tři hodiny chaosu pro miliony vlastníků domén.

Jak se chyba rozšířila

.DE vrací referral odpovědi – říká, kde najít nameservery pro konkrétní doménu. Obsahují NSEC3 záznamy pro důkaz absence dat.

Neplatné podpisy na NSEC3? Resolvers označily delegaci za "Bogus". Dokonce i domény bez DNSSEC se nedały resolvovat.

Domino efekt: chyba nahoře zlomí všechny podřízené domény. Velcí hráči jako Cloudflare nebo Google DNSSEC pro .DE vypnuli. Menší ISP? Kompletní tma.

Lekce pro vaši infrastrukturu

Pokud řídíte registry, DNS nebo závisíte na .DE, vezměte si to k srdci:

1. Testy nestačí – potřebujete úplnost
Použili standardy, audity, scénáře. Chyba projde, pokud testy edge cases přehlídnou. Při změnách v DNSSEC myslete na to, co testy nezakryjí.

2. Monitoring musí koušt
Detekce ano, ale pak eskalace, on-call týmy a právo zastavit deploy. .DE mělo detekci, chyběla reakce.

3. DNSSEC řeže oběma směry
Zlepší bezpečí, ale chyba v rodičovské zóně zlomí i děti bez DNSSEC. Zvažte dopad před spuštěním. Prodlužte paralelní testy, ověřte více systémů.

4. Redundance všude
Velcí resolvers se adaptovali. Malí ne. Přemýšlejte, jak byste to zvládli vy.

Co dál

Služby obnovili večer 6. května. Registr slíbili podrobný post-mortem. Taková otevřenost je klíčová. Ne na hanbu, ale na učení.

Tato aféra ukazuje, jak složitost, automatizace a skryté bugy spůsobí výpadek i u profíků. Není to o "DNSSEC je špatný". Je to o bdělosti, pokoře a kontrole předpokladů.

Vaše doménová strategie? Vyberte registrátora, ale zeptejte se na monitoring, testy a reakci na krizi. Protože chyba přijde. Rozdíl dělá, jak ji zvládnou.

V NameOcean dbáme na průhlednost a pevný monitoring DNS i hostingu. Máte obavy o spolehlivost domén? Rádi probereme detaily. (Nejsme neomylní – jen se snažíme chyby chytit dřív, než udeří.)