Amikor a DNSSEC-frissítés balul sül el: A .DE domain-kiesés mélyrebontása 2026 májusából

A DNS-t az internet telefonkönyvének hívják, de ez nem papíralapú cucc – ez kritikus rendszer, amiről csak akkor jut eszébe az ember, ha bedöglik. 2026. május 5-én a .DE regisztrátor három órás blackoutuval küzdött, ami millióknyi német domain-t érintett. Nem hacker támadás vagy hardverhiba volt a ludas, hanem egy csendes hiba a saját DNSSEC-aláíró kódban, ami átcsúszott a teszteken.

Mi is az a DNSSEC, és miért nagy ügy?

Nézzük előbb az alapokat. A DNSSEC kriptográfiai védelmet ad a DNS-hez, hogy elkerüljük a hamisításokat és a közbeavatkozásokat. Ha lekérdezel egy védett domaint, a resolver ellenőrzi az aláírásokat, hogy tényleg hiteles-e a válasz.

A .DE-nél, mint TLD-regisztrátornál, ez óriási felelősség. 2026 áprilisában vezették be a harmadik generációs DNSSEC-rendszert: Knot DNS szoftver, saját eszközök és HSM-ek kezelték a millióknyi domaint. Tesztelték, auditálták külső cégekkel. Minden oké volt. Aztán jött május 5.

A hiba, ami mindent tönkretett

Egy sima kulcsrotáció közben ment félre az aláíráskészítés. Egy adott Key Tag-hez (33834) nem egy, hanem három kulcspárt generált a rendszer. A publikus DNSKEY-be csak egy került be – azt használják a resolvere-ek az ellenőrzésre.

Így a generált aláírások kétharmada érvénytelen lett a nameserverek szemszögéből.

Képzeld el, mint egy ügyvédet, aki három pecséttel hitelesít egy papírt, de csak egyet ismer el a bíróság. A többi két bélyegző értéktelen.

Az ok? Egy saját kódhibában gyökerezett, ami kimaradt a tesztekből. A kódot átnézték, forgatókönyveket futtattak, még hideg párhuzamos tesztet is csináltak (az új rendszer futott az öreg mellett anélkül, hogy éles lett volna). De ez a speciális szélszög eset nem volt lefedve.

Hogyan csúszott át a minőségbiztosításon?

Idegesítő rész. Három folyamatos validáló eszközük van, ami jelzi az aláírásproblémákat. Ezek működtek, és azonnal jelezték a gondot.

Csakhogy a riasztásokat nem kezelték megfelelően.

Automatika kiszúrta valós időben, de ez nem jutott el az emberekhez, akik leállíthatták volna. Tipikus automata-ember átadásbaki – és ez három óra kiesést okozott millióknak.

A láncreakció hatása

Innen lesz igazán izgalmas DNS-architektúra szempontból. A TLD-zónák, mint a .DE, referral válaszokat adnak: "Nem nálam van az example.de, de itt a nameserver." Ezekben delegation infók és NSEC3 rekordok vannak, amik bizonyítják, hogy nincs más rekord.

Ha ezek NSEC3 aláírásai hibásak, a resolver "Bogus"-nak jelöli az egészet. Így még a DNSSEC nélküli domainek sem oldódtak fel, mert a delegation szennyezett volt.

Dominoeffektus: egy rossz aláírás fentről lerombol mindent alatta, akár DNSSEC nélküli domaineket is.

Nagy resolverszolgáltatók (Cloudflare, Google stb.) gyorsan kikapcsolták a .DE DNSSEC-ellenőrzését munkaként, így náluk enyhült. De kisebb ISP-k vagy szigorú resovere-eknél simán elérhetetlen volt minden.

Mit tanuljunk ebből a saját infrastruktúránkra?

Ha regisztrátorként dolgozol, nagy DNS-rendszert üzemeltetsz, vagy .DE domainekre építesz, itt a lényeg:

1. A tesztelés nem elég (de kell)
Iparági szoftver, auditált kód, alapos forgatókönyvek – mégis becsúszott a hiba. Nem a mennyiség, hanem a lefedettség hiányzott. DNSSEC-aláírásnál gondold át, mik a tesztek kivételei.

2. A monitorozás harapnia kell
Jelzés csak a fele. Kell escalációs út, értő on-call csapat és jogkör a leállításhoz. Volt monitorozás, de nem volt reakció.

3. A DNSSEC kétélű kard
Biztonságos, de egy szülőzóna hiba tönkreteszi a gyerekeket is. Mérlegeld a hatást frissítések előtt. Talán hosszabb párhuzamos futás kell, vagy több független ellenőrzés élesítés előtt.

4. Redundancia minden szinten
A nagyok gyorsan kapcsoltak – ez mutatja a redundancia erejét. Kisebbeknél viszont teljes sötétség. Gondold át, te hogy bírnád.

Mi jön még?

Május 6-ra helyreállt minden a .DE-nél. Ígértek részletes post-mortem-et – ez pont az, ami kell az iparnak: tanulás, nem szidalmazás.

Kritikus infrastruktúrát managelőknek ez mesterlecke: komplexitás, automatika és rejtett hibák együtt outage-ot szülnek, még ha mindenki jól dolgozik is. Nem a DNSSEC a rossz, nem a .DE az ostoba. Skálázó infrastruktúrához kell éberség, szerénység és állandó kételkedés.

A domain-stratégiádban ne csak jó regisztrátort nézz – kérdezz a monitorozásukról, tesztelésről, incidenskezelésről. Mert baj lesz, és a kezelés dönti el, ki a top.

NameOceannél átlátható működésre és erős DNS-hosting monitorozásra esküszünk. Ha aggaszt a domain-stabilitás, beszéljünk róla. (Nem állítjuk, hogy hibátlanok vagyunk – csak elkapjuk őket, mielőtt élesbe mennek.)