Når registry-infrastrukturen svikter: .de-nedetiden og leksjonene den ga oss

I mai 2025 skjedde noe rart på det tyske nettet. Amazon.de forsvant. Tjenester fra Deutsche Telekom ble utilgjengelige. DHL, Bahn og Spiegel – alt dødt. Serverne kjørte fint. Domainene var registrert. DNS-pekerne stemte. Overvåkningsdashboardene viste grønt overalt. Likevel stirret millioner på feilmeldinger om timeouter.

Feilen satt ikke der folk lette.

Den usynlige lag som raste

Feil på registry-nivå er som sprekker i husgrunnen – du fikser ikke det med ny maling. DENIC, som driver .de-zone, hadde nettopp rullet ut ny generasjon infrastruktur. Frisk kode. Sikkerhetskontroller OK. Alt validert eksternt. Så kom planlagt nøkkelrotasjon 5. mai. Da gikk det galt.

Kort teknisk: Systemet skulle lage én kryptografisk signaturnøkkel, fordelt på tre sikre enheter. Standard for DNSSEC, som verifiserer DNS-svar kryptografisk. Sikrer at du snakker med ekte domain, ikke angriper.

I stedet lagde defekt kode tre ulike nøkler. Én ble publisert. De to andre signerte videre, inkompatible. To av tre .de-signaturer ble ugyldige. Resolvere som Googles 8.8.8.8, Cloudflares 1.1.1.1 og Quad9 avviste svarene. Feil ut til brukere.

Overvåkingsfellen

DENIC sine verktøy oppdaget det. Tre valideringssystemer flagget problemet på minutter. Så... ingenting. Alarmer kom, men ble ikke håndtert. Tre timer senere var det fikset – ikke av DENIC først.

Mønsteret er viktig: Automatisk overvåking uten rask respons er bare show. Grønne dashboarder lurer deg. Alt ser bra ut – til det ikke gjør det. Da har du millioner rammet og tre timers forsinkelse.

Hvorfor skadene varierte (og hvorfor det er problematisk)

Nedetiden traff ikke alle likt. Noen mistet alt. Andre merket null. Forskjellen? DNS-resolveren din.

Nyere resolvere som 1.1.1.1 og 8.8.8.8 krever DNSSEC-validering. De kaster ugyldige signaturer. Eldre ISP-resolvere? Mange ignorerer DNSSEC. De serverer svar uansett. Bestemors nettet funket, mens tech-startupens krasjet – basert på resolver-valg.

Det viser ekosystem-problemet: Sikkerhet hjelper bare hvis alle henger med. Ellers forsterker den feil i stedet for å stoppe dem.

Den store DNSSEC-lærdommen

Kun 3,6 prosent av .de-domener bruker DNSSEC – ca. 645 000 av 17,9 millioner. Lav adopsjon begrenset skaden til store, DNSSEC-aktive sider med validerende resolvere. Kjipe aktører rammet. Små sider slapp unna.

Ubehagelig faktum: Mer DNSSEC-adopsjon (som vi trenger) gjør slike feil verre og bredere. Sikkerhet koster i overgangen. Kan ikke lime på uten smerte.

Hva det betyr for din domain-strategi

For kritiske domener: Tenk nytt om DNS-infrastruktur.

Spred resolverne. Ikke stol på én offentlig. Bruk flere, overvåk hva du faktisk bruker. Noen apper kan bytte automatisk. Gjør det.

Kjenn registryens responsrutiner. Ikke alle ccTLD-er er like. For store nasjonale oppsett: Vit hvem som varsles og hvordan. DENIC var åpne etterpå, men alarmlaget viste svakhet.

DNSSEC ja – men sjekk implementasjonen. Feilen kom fra nøkkelfeil i DNSSEC. Dropp ikke det. Krev testing, validering og rask respons fra registry.

Overvåk riktige lag. Hosting-dashboard grønt? Uaktuelt hvis registry kræsjer. Legg inn registry-sjekker. Cloudflare-tjenester gir tidlig varsler før klager.

Cloudflare-rollen

Cloudflare fikset først. Ikke tilfeldig. 1.1.1.1 ble rammet umiddelbart. Global infrastruktur ga rask isolasjon. De ser DNS-problemer i stor skala.

Derfor teller DNS-leverandør-valg. Gode ser feil på tvers av nettverk, triangulerer det usynlige.

Hva som endret seg

DENIC oppdatert nøkkelrotasjon og alarmer. Tredje-gen infrastruktur beholdt, men debugget. Kode fikset. Varsling oppgradert for ekte respons.

Kjedelig løsning: Bedre tester, alarmer og prosedyrer. Ikke flashy, men stopper neste tre-timer.

Den ekte konklusjonen

Registry er blindflekk for de fleste. Registrar og ccTLD fikser det. Du styrer DNS og hosting. Alle i sin bane.

Men baner har kanter som ryker. Da trenger du innsikt på tvers: Registrar-helse, resolver-ytelse, registry-respons. .de viser: Du kan ikke outsource all DNS-sikkerhet. Forstå lagene under appen, selv om andre driver dem.

Leksjonen fra 5. mai 2025: Kritisk feil skjer der du ikke styrer. Derfor må du kjenne dem.