DNSSEC-fout bij .DE: Drie uur downtime voor miljoenen domeinen in mei 2026

DNS fungeert als het telefoonboek van het web. Het is cruciaal voor alles online. Weinig mensen denken eraan, tot het crasht. Op 5 mei 2026 lag het .DE-register drie uur plat. Miljoenen Duitse domeinen waren onbereikbaar. Geen hack of defecte hardware. Nee, een sluipende bug in de DNSSEC-ondertekening veroorzaakte de chaos.

DNSSEC in het kort: Waarom het telt

Eerst de basis. DNSSEC beveiligt DNS tegen vervalsing en tussenpersoon-aanvallen. Het gebruikt cryptografische handtekeningen om te checken of DNS-antwoorden kloppen en niet zijn gemanipuleerd.

Voor een TLD als .DE is dit big business. In april 2026 rolde het register hun derde DNSSEC-systeem uit. Knot DNS als basis, plus eigen tools en HSM's voor de schaal van miljoenen domeinen. Getest, geaudit door experts. Alles leek waterdicht.

Tot 5 mei.

De bug die alles lamlegde

Bij een standaard key rotation ging het mis. Voor één Key Tag (33834) maakte het systeem niet één, maar drie key pairs. Slechts één belandde in de publieke DNSKEY-record – die resolvers checken.

Resultaat: tweederde van de handtekeningen was ongeldig. Resolvers konden ze niet verifiëren.

Stel je een notaris voor met drie stempels, maar slechts één erkend door de rechter. Twee van de drie documenten falen.

Oorzaak: een fout in custom code die testing doorstond. Code reviews, testruns en een 'cold parallel run' (nieuw systeem naast oud, zonder live) haalden het niet. De edge case ontbrak in de tests.

Waarom QA faalde

Frustrerend: het register had drie validatietools die continu draaiden. Ze vingen de fout direct.

Maar de alerts werden niet opgepakt.

Automatie detecteerde het real-time. Menselijke operators kregen het signaal niet. Een klassiek knelpunt tussen monitoring en actie. Gevolg: drie uur downtime voor miljoenen domeineigenaren.

De kettingreactie

Vanuit DNS-oogpunt fascinerend. .DE-zones sturen 'referral responses': 'example.de zit niet hier, maar bij deze nameserver.' Met delegation-info en NSEC3-records die afwezigheid bewijzen.

Ongeldige NSEC3-handtekeningen maakten de hele delegation 'Bogus'. Zelfs niet-DNSSEC-domeinen vielen om, want de bovenliggende delegatie was verziekt.

Domino-effect: één fout bovenaan sloopt duizenden kinddomeinen.

Grote resolvers als Cloudflare en Google schakelden DNSSEC-validatie voor .DE tijdelijk uit. Hun users merkten weinig. Maar bij kleinere ISP's of strenge resolvers? Volledig blackout.

Lessen voor jouw setup

Beheer je een register, DNS-infra of .DE-domeinen? Dit zijn de eye-openers:

1. Tests dekken nooit alles (maar doe ze wel) Industrie-software, audits, uitgebreide scenario's. Toch ontsnapte de bug. Niet te weinig tests, maar incomplete coverage. Bij DNSSEC-wijzigingen: welke edge cases mis je?

2. Monitoring moet bijten Detectie is stap één. Dan escalatie, on-call engineers met kennis en stop-knop. Monitoring was er. Reactie niet.

3. DNSSEC snijdt aan twee kanten Meer veiligheid, maar een parent-fout sloopt kinderen. Weeg de impact van signing-updates. Parallel run langer aanhouden. Valideer met meerdere systemen pre-live.

4. Redundantie overal Grote spelers schakelden validatie uit en reden door. Kleinen niet. Denk na over je eigen plan B.

Wat nu?

Volledige herstel kwam op 6 mei avond. Het register belooft een diepgaand post-mortem. Zulke openheid helpt de sector vooruit – niet om te wijzen, maar om te leren.

Voor DNS-beheerders: een wake-up call. Complexiteit, automatie en bugs slaan toe, zelfs bij due diligence. Niet 'DNSSEC sucks' of 'DE faalde'. Maar: schaal vraagt waakzaamheid, bescheidenheid en kritiek op aannames.

Kies een registrar die monitort, test en reageert. Want fouten komen altijd. Uitstekende infra blinkt uit in herstel.

Bij NameOcean zetten we in op openheid en stevige DNS- en hosting-monitoring. Zorgen over domeinbetrouwbaarheid? Laten we praten. (We zijn niet bug-proof, maar vangen ze voor live-gang.)