Awaria DNSSEC w .DE: Co poszło nie tak 5 maja 2026?

DNS to kręgosłup internetu. Nazywamy go czasem "książką telefoniczną sieci". Rzadko o nim myślimy. Dopóki nie przestanie działać. 5 maja 2026 roku rejestry .DE zaliczyły trzygodzinną przerwę. Dotknęła milionów niemieckich domen. Nie był to atak hakerski. Nie zawiodło sprzętu. Winny okazał się drobny błąd w kodzie do podpisywania DNSSEC.

DNSSEC w skrócie – po co to wszystko?

DNSSEC chroni przed fałszowaniem odpowiedzi DNS. Dodaje kryptograficzne podpisy. Dzięki nim resolverzy sprawdzają, czy dane nie zostały zmienione. Ataki typu man-in-the-middle tracą moc.

Rejestr .DE zarządza ogromem domen. W kwietniu 2026 uruchomił trzecią generację infrastruktury DNSSEC. Użył Knot DNS, własnych narzędzi i HSM-ów. Wszystko przetestowane. Audyty zewnętrzne zaliczone. Wyglądało idealnie.

A potem przyszedł 5 maja.

Błąd, który rozwalił system

Podczas rutynowej rotacji kluczy DNSSEC coś się posypało. System wygenerował trzy pary kluczy dla jednego Key Tag (33834). Do DNSKEY trafił tylko jeden. Dwa pozostałe podpisywały rekordy, ale resolverzy ich nie uznawały.

Wyobraź sobie notariusza z trzema pieczęciami. Tylko jedna jest oficjalna. Sąd odrzuci dokument z pozostałymi.

Przyczyna? Błąd w niestandardowym kodzie. Przeglądy, testy i "zimny parallel run" go nie złapały. Edge case nie był w scenariuszach.

Jak to przeoczył QA?

Rejestr .DE ma trzy narzędzia walidacji. Działają non-stop. Wykryły problem z podpisami. Alarmy poleciały.

Ale nikt ich nie obsłużył.

Automatyka działała. Człowiek nie zareagował. Klasyczna luka między monitoringiem a akcją. Miliony domen offline przez trzy godziny.

Efekt domina w DNS

.DE wysyła referral responses. Mówią: "Nie mam example.de, ale tu nameserver". Dołączają NSEC3 do udowadniania braku rekordów.

Nieprawidłowe podpisy NSEC3? Resolvery uznały delegację za "Bogus". Nawet domeny bez DNSSEC padały. Bo łańcuch zaufania prysł na górze.

Duże resolvery jak Cloudflare czy Google wyłączyły walidację .DE. Użytkownicy ocaleni. Mniejsi ISP? Pełna ciemność.

Lekcje dla twojej infrastruktury

Prowadzisz rejestr? Duży DNS? Zależysz od .DE? Oto co warto zapamiętać:

1. Testy to za mało – liczy się zasięg
Użyli Knot DNS, audyty, pełne scenariusze. Błąd i tak wyleciał. Szukaj luk w testach. Zwłaszcza w DNSSEC.

2. Monitoring musi gryźć
Wykrycie to początek. Potrzebujesz eskaliacji, on-call i mocy zatrzymania rollout'u. Alarmy były. Reakcja zawiodła.

3. DNSSEC tnie obie strony
Zabezpiecza, ale błąd w rodzicu rozwala dzieci. Mierz blast radius. Przedłuż parallel run. Waliduj na wielu systemach.

4. Redundancja wszędzie
Duże resolvery sobie poradziły. Mniejsze nie. Myśl, jak przetrwasz TLD outage.

Co dalej?

Usługi wróciły wieczorem 6 maja. Rejestr .DE zapowiada szczegółowy post-mortem. Brawo za transparencję. Branża musi się uczyć.

To przypomnienie: złożoność + automatyka + błędy = outage. Nie obwiniaj DNSSEC czy .DE. Klucz to czujność i kwestionowanie założeń.

Wybierając rejestratora, pytaj o monitoring, testy i reakcję na incydenty. Bo awarie przychodzą. Różnica w tym, jak je ogarniasz.

W NameOcean stawiamy na jawność i solidny monitoring DNS oraz hostingu. Martwisz się o stabilność domen? Porozmawiajmy. (Nie twierdzimy, że jesteśmy nieomylni – po prostu łapiemy bugi przed produkcją.)