När DNSSEC-uppdateringar spårar ur: Insidan av .DE-kraschen i maj 2026

DNS är internets telefonbok. Men den är kritisk infrastruktur. De flesta tänker inte på den förrän den slutar fungera. Den 5 maj 2026 låg .DE-registret nere i tre timmar. Miljontals tyska domäner drabbades. Orsaken? Inte hackare eller hårdvarufel. Utan en dold bugg i egenutvecklad DNSSEC-kod som smet förbi alla tester.

DNSSEC – vad det är och varför det spelar roll

DNSSEC skyddar mot DNS-förfalskning och man-in-the-middle-attacker. Resolverar kontrollerar kryptografiska signaturer för att säkerställa att DNS-svaren är äkta.

För en toppdomän som .DE är det stort. Registret lanserade sin tredje generation DNSSEC-infrastruktur i april 2026. De använde Knot DNS, egna verktyg och HSM:er för att hantera miljontals domäner. Allt testades. Extern säkerhetsgranskning gjordes. Verkar solitt.

Sen small det till den 5 maj.

Buggens ursprung

Vid en vanlig DNSSEC-nycklerotation gick signaturgenereringen fel. Systemet skapade tre nyckelpar för samma Key Tag (33834). Bara en hamnade i DNSKEY-posten som resolverar läser.

Två av tre signaturer blev ogiltiga. Tänk dig en notarius som stämplar med tre sigiller. Bara ett är godkänt hos rätten. Två av tre dokument underkänns.

Felet satt i egen kod. Code reviews, tester och en "cold parallel run" missade det. Edge case:n saknades i testscenarierna.

Hur slapp det QA?

Registret kör tre valideringsverktyg non-stop. De fångade felet direkt – ogiltiga DNSSEC-signaturer.

Men larmen hanterades fel. Automatik upptäckte problemet. Människor fick aldrig signalen. Ett typiskt haveri i överlämningen från maskin till människa. Resultat: tre timmars driftstopp för miljoner domäner.

Kedjereaktionen

.DE hanterar referrals – "denna domän finns inte här, kolla nameservern X". Svaren innehåller delegation och NSEC3-poster som bevisar avsaknad.

Ogiltiga NSEC3-signaturer gjorde hela delegationen "Bogus". Resolverar litade inte på den. Även domäner utan DNSSEC slutade lösas upp.

Dominoeffekt: Ett toppfel krossar tusentals underdomäner. Stora resolverar som Cloudflare och Google stängde av DNSSEC-validering för .DE tillfälligt. Mindre ISP:er och strikta resolverar? Total blackout.

Lärdomar för din setup

Driver du registry, DNS-infrastruktur eller .DE-domäner? Här är kärnan:

1. Tester räcker inte – täck allt
Standardmjukvara, granskad kod, breda scenarier. Ändå brast det. Fokusera på osynliga edge cases i DNSSEC-hantering.

2. Övervakning måste bita
Upptäckt är steg ett. Kräva tydliga eskaleringar, vakna ingenjörer och mandat att stoppa utrullning. .DE hade verktygen. Saknade responsen.

3. DNSSEC skär åt båda hållen
Bättre säkerhet, men toppfel smittar ned. Testa blast radius. Låt parallel run köra längre. Validera mot oberoende system först.

4. Redundans överallt
Stora aktörer räddade dagen med workarounds. Mindre? Mörker. Planera för TLD-haveri.

Framåt

Tjänsten var tillbaka kvällen den 6 maj. .DE lovar en djupgående post-mortem. Sådan öppenhet driver branschen framåt. Inte för att peka finger, utan för gemensam lärdom.

Hantera du DNS? Det här är en lektion i komplexitet, automatisering och luriga buggar. Budskapet: Skala kräver vaksamhet, ödmjukhet och ifrågasättande. Välj registrar som visar hur de övervakar, testar och hanterar kriser. För det avgör vad som är riktigt bra infrastruktur.

På NameOcean kör vi transparent med stark DNS- och hosting-övervakning. Orolig för domänernas tillförlitlighet? Hör av dig. (Vi påstår inte buggfrihet – bara att vi fångar dem innan lansering.)