24/7 ondersteuning
Veelgestelde vragen
 Dashboard
Accountsaldo:    
DNSSEC-update loopt spaak: lessen uit de .de-blackout

DNSSEC-update loopt spaak: lessen uit de .de-blackout

Mei 08, 2026 dns dnssec infrastructure incident response security domain management outage analysis

DNSSEC-update loopt spaak bij .de: Wat ging er mis?

Stel je voor: je rolt een update uit in het holst van de nacht, alles lijkt perfect getest, en toch valt alles uit. Precies dat overkwam de .de-registry op 5 mei 2026. Duizenden .de-websites waren drie uur lang onbereikbaar. Niet door verdwenen domeinen, maar door een beveiligingslaag die ze juist kapotmaakte.

Techniek botst met slordigheid

De .de-registry had maanden gewerkt aan een nieuwe DNSSEC-signingtool, generatie drie. Getest, geaudit, foolproof leek het.

Maar de tool maakte een fout: in plaats van één key pair spuwde het er drie uit, en publiceerde er maar één. Resolvers zagen een mismatch en weigerden de signatures te valideren.

Technisch gezien: DNSSEC werkt met key tags, een soort vingerafdruk van de public key. Alle drie de keys kregen dezelfde tag (33834). Daardoor faalden twee derde van de resolvers – de private key matchte niet met de gepubliceerde public key.

Het werd erger. Bij elke zone-wijziging signeert het systeem de SOA-record opnieuw. Sommige updates werkten, andere niet. Resultaat: een chaotische toestand die niemand had zien aankomen.

Alarmsignalen genegeerd

De registry had drie onafhankelijke validatietools. Die pikten de foute signatures feilloos op en gaven alarm.

Niemand reageerde. De meldingen verdronken in de monitoring-overload. Dit is geen tech-fout, maar een menselijke misser. Het kan overal gebeuren bij kritieke systemen.

Monitoring zonder snelle actie en escalatie is waardeloos.

Waarom ook onbeveiligde domeinen vielen

DNSSEC bewijst niet alleen signatures, maar ook het ontbreken ervan via NSEC3-records. Foute NSEC3-signatures maakten de hele delegatie ongeldig – zelfs voor .de-domeinen zonder DNSSEC.

Je example.de zonder DNSSEC? Onbereikbaar, omdat de nameserver-delegatie 'bogus' werd verklaard. Een les in DNS-koppelingen die operators vaak over het hoofd zien.

Snelle fix door de community

Positief punt: grote resolver-operators schakelden DNSSEC-validatie voor .de tijdelijk uit. Gebruikers konden weer surfen. De registry bedankte ze publiekelijk.

Dit toont hoe internet-infra werkt: pros maken onder druk de juiste call. Maar het onderstreept ook: je hebt ervaren DNS-beheerders nodig.

Lessen voor DevOps en developers

Deze uitval levert concrete takeaways:

  1. Tests missen altijd iets. Zelfs geauditeerde code faalt live. Meerdere key pairs? Niemand had dat getest.

  2. Alerts eisen actie. Drie systemen werkten, maar zonder escalatie zijn het loze piepjes.

  3. Ken je keten. Onbeveiligde domeinen vielen mee – DNSSEC raakt breder dan je denkt.

  4. Parallel runnen is niet zaligmakend. Ze draaiden de nieuwe tool naast de oude, maar productie-bugs bleven.

  5. Schrijf je response-plan uit. Resolver-operators wisten wat te doen. Jij?

Wat komt er nu?

De .de-registry belooft een diepgaand rapport. Verwacht strengere tests voor DNSSEC, betere alert-processen en aanpassingen in zone-handling.

Voor ons met NameOcean of eigen DNS: kies providers met sterke monitoring, weeg DNSSEC goed af, bouw banden met experts en koppel alerts direct aan on-call teams.

Na drie uur was .de weer live. Infra hield stand, en wij leerden bij. Winst.

Jij ook DNS-ellende meegemaakt? Wat leerde je ervan? Deel je verhaal – samen maken we systemen robuuster.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB HU IT FR ES DE DA ZH-HANS EN