Når DNSSEC-oppdateringer sprekker: Innblikk i .DE-nedetiden i mai 2026

DNS er internetts telefonkatalog. Den sjelden tenkes på før den svikter. 5. mai 2026 rammet en tre timer lang nedetid millioner av .DE-domener. Ikke et angrep eller maskinfeil. En lumsom feil i hjemmelaget DNSSEC-kode som glapp gjennom alle tester.

Bakgrunn: Hva er DNSSEC, og hvorfor teller det?

DNSSEC sikrer DNS mot forfalskning og angrep midt i trafikken. Resolvere sjekker kryptografiske signaturer for å bekrefte at svarene er ekte.

For .DE-registret, som håndterer millioner av domener, er dette kritisk. De rullet ut tredje generasjon DNSSEC-infrastruktur i april 2026. Knot DNS kombinert med egne verktøy og HSM-er. Testet grundig. Godkjent av eksterne revisorer.

Så kom 5. mai.

Feilen som ødela alt

Under vanlig nøkkelrotasjon gikk signaturgenereringen skeivt. Systemet laget tre nøkkelpar for Key Tag 33834. Bare én havnet i DNSKEY-rekorden som resolvere bruker.

To av tre signaturer ble ugyldige.

Som en notarius med tre stempler, der bare ett er offisielt. Dommeren godkjenner bare ett.

Årsaken? En feil i tilpasset kode. Testene, kodegjennomganger og "cold parallel run" fanget den ikke. Edge case utenfor testdekning.

Hvordan glapp dette QA?

Registret kjørte tre valideringsverktøy non-stop. De oppdaget feilen med én gang – ugyldige signaturer.

Men alarmene ble ikke fulgt opp.

Automatikk fungerte. Overlevering til mennesker sviktet. Resultat: Tre timers kaos for millioner av domeneeieres.

Kjedereaksjonen

.DE håndterer henvisninger: "Dette domenet er ikke her, spør disse nameserverne." Med NSEC3-poster som beviser fravær.

Ugyldige signaturer på disse? Resolvere merket hele delegasjonen "Bogus". Selv DNSSEC-frie domener ble utilgjengelige.

Dominoeffekt: Toppnivå-feil lammet tusener av uskyldige domener.

Store resolvere som Cloudflare og Google slo av validering midlertidig. Mindre ISP-er og strenge resolvere? Full blackout.

Lærdom for din infrastruktur

Drifter du registry, DNS på stor skala eller .DE-domener? Her er poengene:

1. Tester dekker ikke alt
Bransjestandard, revisjoner og scenarier hjalp ikke. Feilen var i hullene. Kartlegg hva testene ikke fanger ved DNSSEC-endringer.

2. Overvåking må bite
Oppdagelse er ikke nok. Klare eskaleringer, on-call-folk med kunnskap og stopp-knapp kreves. Her manglet responsen.

3. DNSSEC kutter begge veier
Sikkerhet ja, men feil i parent-sone ødelegger barnesoner. Tenk blast radius. Kjør parallel lengre. Valider mot flere systemer først.

4. Redundans overalt
Store aktører byttet raskt. Små? Totalt mørke. Planlegg for TLD-kollaps.

Fremtiden

Tjenesten var oppe kvelden 6. mai. .DE lover detaljert rapport. Slik transparens bygger bransjen.

Denne hendelsen viser hvordan kompleksitet, automatisering og småfeil skaper kaos – selv med gode rutiner. Ikke "DNSSEC suger" eller "DE er dumme". Poenget: Skala krever årvåkenhet, ydmykhet og tvil på alt.

Velg registrar med innsyn i overvåking, tester og respons. Noe går alltid galt. Håndtering skiller bra fra best.

På NameOcean satser vi på åpne prosesser og solid DNS-/hosting-overvåking. Usikker på domenestabilitet? Ta en prat. (Vi er ikke feilfrie – vi fanger dem før lansering.)