DNSSEC-Fehler bei .DE: Warum ein Update im Mai 2026 Millionen Domains lahmlegte

DNS ist das Telefonbuch des Internets. Es läuft meist unsichtbar im Hintergrund. Bis es kracht. Am 5. Mai 2026 fiel die .DE-Registry für drei Stunden aus. Millionen deutscher Domains waren betroffen. Kein Hacker-Angriff. Kein Server-Crash. Sondern ein winziger Bug in der hauseigenen DNSSEC-Software. Der schlüpfte durch alle Tests.

DNSSEC im Überblick: Schutz vor Fakes

DNSSEC schützt vor DNS-Spoofing und Man-in-the-Middle-Angriffen. Resolver prüfen kryptografische Signaturen. So stellen sie sicher: Die DNS-Antwort ist echt und unversehrt.

Für die .DE-Registry ist das riesig. Im April 2026 rollten sie die dritte Generation ihrer DNSSEC-Infrastruktur aus. Knot DNS als Basis. Dazu eigene Tools und HSMs für den Massenbetrieb. Getestet. Von externen Firmen geprüft. Alles top.

Dann der 5. Mai.

Der Bug, der alles umhaute

Bei einer normalen Key-Rotation ging die Signaturerstellung schief. Statt einem Key-Paar für den Key Tag 33834 baute das System drei. Nur einer landete im öffentlichen DNSKEY-Record. Den Resolver nutzen, um Signaturen zu checken.

Zwei Drittel der Signaturen waren damit wertlos. Resolver konnten sie nicht validieren.

Stellen Sie sich vor: Ein Notar stempelt mit drei Siegeln. Nur eines ist beim Gericht eingetragen. Zwei scheitern beim Check.

Ursache: Ein Bug im Custom-Code. Entwickler prüften den Code. Fuhren Tests durch. Machten sogar einen "kalten Parallel-Run" – Neues System neben dem Alten, ohne Live-Schaltung. Der Edge-Case fehlte in den Tests.

Warum QA versagte

Ärgerlich: Die .DE-Registry hat drei laufende Validierungs-Tools. Sie fingen den Fehler sofort. Warnten vor ungültigen Signaturen.

Aber die Alarme blieben ungehört.

Automatisierung entdeckte das Problem live. Der Übergang zu Menschen scheiterte. Kein Stopp der Rollout. Drei Stunden Ausfall für Millionen Domain-Besitzer.

Die Kettenreaktion

Spannend für DNS-Architekten: .DE-Zones geben Referral-Responses. Sie sagen: "example.de hoste ich nicht. Hier die Nameserver." Mit Delegation und NSEC3-Records. Die beweisen: Keine anderen Records da.

Ungültige NSEC3-Signaturen? Resolver stuften die ganze Delegation als "Bogus" ein. Unzuverlässig.

Folge: Sogar Domains ohne DNSSEC waren unresolvbar. Der Fehler oben wirkt sich auf alles darunter aus.

Große Resolver wie Cloudflare oder Google schalteten DNSSEC für .DE vorübergehend aus. Half ihren Nutzern. Kleinere ISPs oder strenge Resolver? Komplett offline.

Lektionen für Ihre Setup

Registry-Betreiber, DNS-Operatoren oder .DE-Nutzer: Nehmen Sie das mit.

1. Tests allein reichen nicht
Standard-Software, geprüfter Code, volle Szenarien – und trotzdem Bug. Fehlte Coverage für Edge-Cases. Bei DNSSEC-Änderungen: Überlegen, was Tests nicht abdecken.

2. Monitoring muss beißen
Erkennen ist gut. Aber Eskalation, On-Call-Teams und Stopp-Recht brauchen Sie. Monitoring war da. Reaktion fehlte.

3. DNSSEC schützt – und schadet
Bessere Security. Aber ein Parent-Zone-Fehler killt Child-Zones ohne DNSSEC. Blast Radius bedenken. Parallel-Runs länger laufen lassen. Mehrere Systeme prüfen vor Go-Live.

4. Redundanz überall
Große Resolver retteten sich selbst. Kleine nicht. Planen Sie für TLD-Ausfälle.

Ausblick

Am Abend des 6. Mai lief alles wieder. Die Registry verspricht ein detailliertes Post-Mortem. Solche Transparenz stärkt die Branche. Nicht zum Bashen. Zum Lernen.

Für DNS-Manager: Ein Fallstudie zu Komplexität, Automatisierung und versteckten Bugs. Kein "DNSSEC abschalten" oder ".DE unfähig". Sondern: Skalierte Infra braucht Wachsamkeit, Demut und ständige Zweifel an Gewissheiten.

Wählen Sie Registrar nicht nur nach Preis. Fragen Sie nach Monitoring, Tests und Incident-Response. Weil Pannen kommen. Die Bewältigung macht den Unterschied.

Bei NameOcean setzen wir auf offene Prozesse und starkes DNS-Monitoring. Unsere Hosting-Infrastruktur ist robust. Sorgen um Domain-Zuverlässigkeit? Reden Sie mit uns. (Wir sind nicht bug-frei – wir jagen sie früh.)