Når DNSSEC-oppdateringer sprekker: Lærdom fra .de-nedetiden

Har du noensinne fikset noe kritisk midt på natten? Alt tester bra i forkant, men så smeller det likevel. Akkurat det skjedde med Tysklands .de-registret 5. mai 2026.

I tre timer var tusenvis av .de-sider utilgjengelige. Ikke fordi domenene forsvant. Men fordi sikkerhetsfunksjonen som skulle beskytte dem, ødela dem i stedet.

Teknisk kaos møter rutinesvikt

Registret hadde brukt måneder på en ny DNSSEC-signeringssystem av tredje generasjon. Testet grundig. Godkjent av eksterne. Virket vanntett.

Så gikk det galt: Systemet spyttet ut tre ulike kryptografiske nøkkelpar i stedet for ett. Bare én av dem ble publisert. Dette skapte et totalt mismatch mellom signering og det resolvere ventet.

Teknisk sett bruker DNSSEC key tags – en slags fingeravtrykk for offentlige nøkler. Alle tre nøklene fikk samme tag (33834). Resolvere som validerte, feilet i to av tre tilfeller. Signaturen matchet ikke den publiserte nøkkelen.

Kaoset spredte seg. Hver gang sonen oppdateres, signeres SOA-rekorden på nytt. Noen oppdateringer gikk greit, andre ikke. Resultatet? En rotete tilstand som ingen hadde sett før.

Hvorfor fanget ikke alarmene det?

De gjorde det. Registret har tre uavhengige valideringsverktøy som skal fange akkurat slikt. Alle tre slo alarm på ugyldige signaturer.

Men ingen reagerte.

Meldingene ble logget og begravd i bruset fra produksjonsmonitorering. Dette er ikke tech-feil. Det er prosess-feil. Skjer lett for alle som driver kritisk infrastruktur.

Poenget: Overvåking er verdiløs uten klare responserutiner. Automatiske alarmer uten ansvar og eskaleringsveier er bare støy.

Hvordan én feil lammet usignerte domener

Det verste? DNSSEC beviser ikke bare signaturer. Det beviser også fravær av signaturer via NSEC3-rekorder – også for usignerte domener.

Ugyldige signaturer på .de-sonens NSEC3 fikk validerende resolvere til å avvise hele delegasjonen. Selv domener uten DNSSEC, som example.de, ble utilgjengelige. Infrastrukturen som pekte til nameserveren ble stemplet "falsk".

De fleste DNS-operatører tenker ikke over dette før det smeller.

Den menneskelige fiksingen

Positivt: Store resolver-operatører skrudde midlertidig av DNSSEC-validering for .de. Brukere kom seg på nett igjen. Registret takket dem offentlig.

Dette viser internett på sitt beste. Erfarna folk vet å løsne tøylene i krise for å få tjenesten opp. Men det understreker behovet for DNS-veteraner som tør ta tøffe valg under press.

Lærdom for deg og teamet

Til utviklere og DevOps-folk, her er nøkkelen:

1. Tester dekker ikke alt. Selv auditert kode med masse tester kan kræsje i produksjon. Feilen med flere nøkkelpar slapp unna.

2. Alarmer uten handling er tull. Tre systemer fungerte. Men uten øyeblikkelig menneskelig respons og klare eskaleringer, er det poengløst.

3. Kjenn avhengighetene dine. Usignerte domener viser hvor tett DNS-sikkerhet henger sammen. Endringer på TLD-nivå rammer uventet.

4. Parallel drift er ikke nok. De kjørte nytt system sideløpende. Likevel dukket produksjonsfeil opp.

5. Skriv ned responsplaner. Store operatører hadde prosedyrer klare. Har du det for DNS-kriser?

Fremtiden?

Registret lover dypere gransking. Forvent strengere testkrav for DNSSEC, bedre alarmeruting og endringer i hvordan TLD-soner håndterer nøkler.

For oss på NameOcean eller med egen DNS: Velg leverandører med solid overvåking og respons. Forstå DNSSEC før du skrur det på. Bygg nettverk med erfarne DNS-folk. Koble monitorering rett til vaktlag – ikke siloanlegg.

God nyhet? Etter tre timer var .de tilbake. Infrastrukturen holdt. Fellesskapet lærte om svakheter og gjenoppretting.

Det var verdt nedetiden.

Har du hatt DNS-nedetid? Hva lærte du? Del historien – jo mer vi deler, jo sterkere blir systemene våre.