DNSSEC-opdatering gik galt: Hvad skete der med .DE-domænerne i maj 2026?

DNS er internettet backbone. Det oversætter domænenavne til IP-adresser. De fleste tænker ikke over det, før det stopper med at virke. Den 5. maj 2026 ramte en tre timers udfald millioner af .DE-domæner. Ikke hackere eller hardware. Nej, en lille fejl i DNSSEC-koden.

DNSSEC forklaret kort

DNSSEC sikrer DNS mod forfalskning. Det tilføjer kryptografiske signaturer, så svar kan verificeres. For .DE-registret, der håndterer millioner af domæner, er det essentielt.

I april 2026 rullede de ny DNSSEC-infrastruktur ud. Knot DNS plus custom værktøjer og HSM'er. Testet grundigt. Auditeret. Alt så fint ud.

Så kom 5. maj.

Fejlen, der ødelagde alt

Under rutinemæssig key rotation gik signaturerne i stå. Systemet lavede tre nøglepar til Key Tag 33834. Kun én nåede DNSKEY-registret, som resolvere bruger.

To ud af tre signaturer blev ugyldige. Tænk på en kontrakt med tre stempler, hvor kun ét er officielt. De fleste dokumenter falder igennem.

Årsagen? En bug i custom-koden. Den undslap code review, tests og endda parallel kørsel ved siden af det gamle system. Edge-casen var ikke testet.

Hvordan gled det igennem QA?

Registret havde tre valideringsværktøjer kørende non-stop. De fangede fejlen med det samme.

Men alarmerne blev ikke håndteret. Automatikken så problemet. Menneskerne fik ikke besked. Resultat: Tre timers kaos for millioner af domænejere.

Dominoeffekten

.DE-zonen sender referral-svar: "Dette domæne er hos disse nameservere." Med NSEC3-prover på fravær af records.

Ugyldige signaturer på NSEC3 gjorde hele delegationen "Bogus". Selv domæner uden DNSSEC blev blokerede. Fejlen spredte sig nedad.

Store resolvere som Cloudflare og Google slukkede DNSSEC-validering midlertidigt. Små ISP'er? Total blackout for .DE.

Lektioner til din infrastruktur

Hvis du driver registry, DNS eller bruger .DE:

1. Tests dækker ikke alt
Selv med standard software og audits sker fejl. Identificér de utestede edge-cases i DNSSEC.

2. Overvågning kræver handling
Alarmer er godt. Men escalering til on-call folk med kill-switch er bedre. Her svigtede overgangen.

3. DNSSEC rammer bredt
Fejl i parent-zone ødelægger child-domæner uden DNSSEC. Test længere i parallel. Valider mod flere systemer.

4. Byg redundans ind
Store spillere kunne workaround'e. Små ikke. Plan for TLD-nedbrud.

Fremtiden

Tjenesten var tilbage om aftenen den 6. maj. Registret lover detaljeret post-mortem. God transparens – vi lærer alle.

Denne sag viser: Skala kræver konstant vagtsomhed. DNSSEC er stærkt, men kompleks. Vælg registrar med solid monitoring, test og response.

Hos NameOcean satser vi på åbenhed og stærk DNS-overvågning. Uro for dine domæner? Kontakt os – vi fanger bugs, før de rammer.