Когда обновление DNSSEC пошло не по плану: разбор сбоя .DE в мае 2026 года

DNS — это как телефонная книга интернета. Никто о ней не думает, пока она не сломается. 5 мая 2026 года реестр .DE столкнулся с трёхчасовым сбоем. Затронуло миллионы немецких доменов. Причина — не хакеры и не железо. Просто хитрая ошибка в коде для DNSSEC-подписей. Она просочилась через все проверки.

Что такое DNSSEC и зачем он нужен

DNSSEC защищает от подмены DNS и атак "человек посередине". При запросе к домену с DNSSEC резолверы проверяют криптографические подписи. Так они убеждаются, что ответ настоящий и не подделан.

Для реестра TLD вроде .DE это вопрос масштаба. В апреле 2026 они запустили третью версию системы подписи DNSSEC. Использовали Knot DNS, свои инструменты и HSM. Всё протестировано. Аудиторы из внешних фирм дали добро. Казалось, идеально.

Но 5 мая всё рухнуло.

Ошибка, которая всё сломала

Во время плановой ротации ключей DNSSEC генератор подписей сработал криво. Вместо одной пары ключей для Key Tag 33834 создалось три. В публичный DNSKEY попал только один — тот, что проверяют резолверы.

В итоге две трети подписей стали недействительными. Резолверы их отвергали.

Представьте нотариуса, который ставит три печати на документ. Но в суде зарегистрирована только одна. Две другие — фальшивка.

Виновник — баг в самописном коде. Разработчики проверили код, прогнали тесты, даже сделали "холодный параллельный запуск" — новую систему рядом со старой, без перехода в прод. Никто ничего не заметил. Тесты не учли этот редкий случай.

Почему QA не сработала

Реестр .DE мониторит всё тремя инструментами в реальном времени. Они ловят проблемы с подписями DNSSEC — недействительными или отсутствующими. Инструменты сработали. Выдали тревогу.

Но оповещения не дошли до людей.

Автоматика увидела проблему мгновенно. А операторы не вмешались. Классика: мониторинг есть, реакция — нет. Миллионы доменов простояли три часа.

Последствия: домино на DNS-архитектуре

.DE как TLD выдаёт referral responses: "example.de не у меня, вот NS-серверы". Там delegation и NSEC3-записи, которые доказывают отсутствие других записей.

С неверными подписями на NSEC3 резолверы пометили delegation "Bogus" — недоверенным. Даже домены без DNSSEC не резолвились. Топ-уровень сломан — всё ниже падает.

Крупные резолверы вроде Cloudflare и Google быстро отключили валидацию DNSSEC для .DE. Их юзеры пострадали меньше. А мелкие ISP или строгие резолверы — полный блэкаут.

Уроки для вашей инфраструктуры

Управляете реестром, DNS-фермой или зависите от .DE? Вот ключевые выводы:

1. Тесты — это база, но не панацея
Стандартный софт, аудиты, сценарии — всё было. Баг прошёл. Проблема в пробелах покрытия. Меняете DNSSEC-подпись? Ищите неучтённые кейсы.

2. Мониторинг без реакции — пустышка
Тревоги нужны с чёткой эскалацией. On-call инженеры должны понимать сигналы и иметь власть стопорить деплой. У .DE мониторинг был. Реакции — нет.

3. DNSSEC режет с двух сторон
Плюс в безопасности. Минус — сбой в родительской зоне бьёт по дочерним без DNSSEC. Оценивайте радиус поражения. Параллельный запуск — дольше. Валидация — на нескольких системах перед продом.

4. Резервируйте всё
Крупные игроки отключили валидацию и выжили. Мелким — конец. Подумайте, как пережить TLD-сбой.

Что дальше

Полное восстановление .DE — к вечеру 6 мая. Реестр обещает детальный пост-мортем. Такая открытость — золото для индустрии. Не для позора, а для уроков.

Управляете DNS? Это кейс, как сложность, автоматика и мелкие баги рвут системы. Не "DNSSEC плохой" или "реестр дураки". Масштаб требует бдительности, скромности и сомнений в догмах.

В стратегии доменов смотрите не только на регистратора. Изучайте их мониторинг, тесты, response на инциденты. Что-то сломается всегда. Разница — в том, как чинят.

В NameOcean мы за прозрачность и крепкий мониторинг DNS с хостингом. Беспокоитесь за надёжность доменов? Давайте обсудим. (Баги случаются со всеми — мы просто ловим их до продакшена.)