Když selže registry infrastruktura: Co nám ukázal výpadek .de domén

Minulý květen se v německém internetu odehrála divná aféra. Amazon.de nefungoval. Telekom, DHL i Bahn zmizely z mapy. I velké weby jako Spiegel byly nedostupné. Servery hostingů běžely v pořádku. Domény byly správně zaregistrované. DNS záznamy směřovaly kam měly. Všechny monitory svítily zeleně. A přitom miliony uživatelů viděly jen chyby při připojení.

Problém se skrýval jinde. Tam, kde ho nikdo nehledal.

Neviditelná vrstva, která to zvorala

Selhání na úrovni registry je jako prasklý základ domu. Nemůžeš to opravit jen vyměnou nátěru. DENIC, správce .de zóny, právě spustil novou třetí generaci systému. Čistý kód. Prošel bezpečnostními audity. Všechny testy OK. Pak přišla plánovaná rotace klíčů 5. května. A bum.

Technicky řečeno: systém měl vytvořit jeden kryptografický klíč pro podpis. Ten se měl rozdat do tří bezpečnostních zařízení. Běžná praxe pro DNSSEC. Ta technologie ověřuje DNS odpovědi kryptograficky. Zajišťuje, že mluvíš s opravdovou doménou, ne s útokem.

Místo toho kód vyplivl tři různé klíče. Jeden vyšel ven. Druhé dva pokračovaly v podpisování. Byly nekompatibilní. Výsledek? Dvě třetiny DNSSEC podpisů .de byly matematicky neplatné. Resolvery jako Google 8.8.8.8, Cloudflare 1.1.1.1 nebo Quad9 je odmítly. A vracely chyby.

Paradox monitoringu

Frustrující na tomhle je, že DENIC to zachytl. Tři validační systémy to označily během minut. A pak? Nic. Alerty byly, ale nikdo nereagoval včas. Uplynuly tři hodiny, než se to vyřešilo. A ne díky DENIC.

Tohle je lekce. Automatický monitoring bez rychlého řízení incidentů je jen fraška. Vypadá to bezpečně. Zelené dashboardy uklidňují. Až najednou ne. Pak máš miliony postižených a tříhodinovou díru v reakci.

Proč to zasáhlo nerovnoměrně (a proč je to problém)

Výpadek nebyl všude stejný. Někteří uživatelé měli totální tmu. Jiní nic. Rozdíl? Jaký resolver používali.

Moderní jako Cloudflare 1.1.1.1 nebo Google Public DNS kontrolují DNSSEC striktně. Neplatné podpisy? Odmítnuto. Staré resolvery od ISP? Mnohé DNSSEC ignorují. Podají odpověď i s chybným podpisem. Takže babiččin internet jel dál, zatímco tvůj tech startup padl. Jen kvůli resolveru.

Tohle ukazuje slabiny. Bezpečnost funguje jen tehdy, když ji celý ekosystém přijme. Pokud ano, může výpadky zesílit místo toho, aby je bránila.

Lekce pro DNS bezpečnost

Mezi .de doménami má DNSSEC jen 3,6 procenta. Asi 645 tisíc z 17,9 milionu. Nízké číslo omezilo škody na velké, dobře spravované weby. Ty s DNSSEC a validačními resolvery. Malé stránky přežily.

Pravda je nepříjemná: Čím víc domén DNSSEC použije (a měly by), tím víc takové incidenty zabolí. Bezpečnost na staré infrastruktuře bolí. Přechod má cenu.

Co to znamená pro tvou doménovou strategii

Pokud máš kritické domény, přehodnoť DNS setup:

Rozlož resolvery. Nespoléhej se na jeden. Používej víc a sleduj, který fakt jede. Některé appky přepínají automaticky. Využij to.

Znávej procesy registry. Každý ccTLD má jiné monitory a eskalace. U velkých .de nebo jiných zjisti, kdo co dělá. DENIC byl po incidentu transparentní, ale zpoždění alertů odhalilo slabinu.

DNSSEC ano, ale kontroluj. Výpadek přišel kvůli DNSSEC – chybějícímu klíči. Nevynechávej ho. Žádej testy, validaci a rychlou reakci od registry.

Monitoruj správné vrstvy. Zelený dashboard od hostera nic neznamená, když registry padne. Přidej registry checky. Cloudflare a podobné varují dřív, než volají zákazníci.

Role Cloudflare

Cloudflare to opravil první. Ne náhoda. Jejich 1.1.1.1 dostal ránu okamžitě. Díky globální síti to rychle izolovali. Mají hluboký DNS monitoring. Vidí problémy ve velkém měřítku.

Proto volba DNS providera není jen o "funguje?". Dobrý vidí selhání napříč sítí a trianguluje je.

Co se změnilo

DENIC upravil rotaci klíčů a vylepšil eskalaci alertů. Třetí generace zůstala, ale opravili chybu v kódu. Monitoring dostal upgrady, aby alerty skutečně spustily reakci.

Nuda: lepší testy, alerty, dokumentace. Žádný sex appeal, ale brání dalšímu výpadku.

Hlavní ponaučení

Registry infrastruktura je slepá skvrna. Má být neviditelná. Registrar to řeší. Registry taky. Ty DNS a hosting. Každý ve svém pruhu.

Pruhy mají okraje. A ty selžou. Pak potřebuješ vidět víc: zdraví registrara, resolvery, reakce registry. .de výpadek ukazuje: DNS bezpečnost nevysvětlíš. Musíš chápat vrstvy pod appkou. I když je řídí někdo jiný.

To je pravá lekce z 5. května 2026: Nejhorší selhání přicházejí z vrstev mimo tvou kontrolu. Proto je musíš znát.