Support dygnet runt
Vanliga frågor
 Instrumentpanel
Kontosaldo:    
När DNSSEC-uppdateringar spårar ur: Lärdomar från .de-kraschen

När DNSSEC-uppdateringar spårar ur: Lärdomar från .de-kraschen

Maj 08, 2026 dns dnssec infrastructure incident response security domain management outage analysis

När DNSSEC-uppdateringar spårar ur: Lärdomar från .de-kraschen

Tänk dig att uppgradera kritisk infrastruktur mitt i natten. Allt testat, alla simuleringar klara – och ändå rasar det. Precis så gick det för .de-registret den 5 maj 2026.

I tre timmar låg tusentals .de-sajter nere. Inte för att domänerna försvann, utan för att DNSSEC-säkerheten slog tillbaka och blockerade dem.

Teknik möter slarviga rutiner

.de-registret hade byggt en ny DNSSEC-signeringssystem i tredje generationen. Månader av tester och revisioner. Verkade idiotsäkert.

Men systemet spottade ut tre olika kryptografiska nyckelpar istället för ett. Bara en publicerades. Resultat: Total missmatch mellan signering och vad resolverna letade efter.

Tekniskt sett använde DNSSEC "key tags" – ett slags fingeravtryck för publika nycklar. Alla tre nycklarna fick samma tag (33834). De flesta resolverna ratade två av tre signaturer för att de inte stämde med den publika nyckeln.

Värre: Varje zonändring triggade ny signering av SOA-record. Vissa uppdateringar funkade, andra inte. Kaos för resolver-operatörer.

Varför missades det?

Varningssystemen skötte jobbet. Tre oberoende verktyg fångade de ogiltiga signaturerna direkt.

Men ingen reagerade.

Alertsen loggades och drunknade i bruset från produktionsövervakning. Inte teknikfel – rutinfel. Kan drabba vem som helst med kritisk infra.

Poängen: Övervakning är värdelös utan snabba svarvägar och ansvariga personer.

Hur det kraschade oskyddade domäner

DNSSEC skyddar inte bara signerade zoner. Det bevisar också frånvaron av signaturer via NSEC3 för oskyddade domäner.

När .de:s NSEC3-signaturer blev ogiltiga ratade resolverna hela delegeringen. Även domäner utan DNSSEC, som example.de, blev onåbara. Nameserver-delegeringen sågs som "bogus".

Sällan tänkt på – förrän det smäller.

Snabb fix från resolver-jättarna

Positivt: Stora resolver-operatörer stängde av DNSSEC-validering för .de tillfälligt. Sajterna kom tillbaka. .de tackade dem offentligt.

Internetets infrastruktur funkade som den ska. Erfarna operatörer kan lätta på reglerna under kris. Men det kräver djup DNS-kunskap.

Lärdomar för DevOps och utvecklare

  1. Tester täcker inte allt. Externa revisioner och pre-prod-tester missade multipla nyckelpar.

  2. Alert utan action är luft. Tre system varnade perfekt – men ingen lyssnade.

  3. Känn dina beroenden. TLD-ändringar slår mot oskyddade domäner oväntat.

  4. Parallellkörning räcker inte. Ny system kördes bredvid produktion – buggar dök upp ändå.

  5. Skriv ner incidenthantering. Resolver-jättarna hade planer. Har du?

Framåt?

.de lovar djupare analys. Förvänta hårdare testkrav för DNSSEC, bättre alertflöden och fixar för zonhantering.

För NameOcean-användare och egna DNS-setup: Välj leverantörer med stark övervakning. Förstå DNSSEC-risker. Håll kontakter med DNS-experter. Koppla monitorering direkt till on-call-team.

Tre timmar senare var .de uppe igen. Kunskapen vi vann? Ovärderlig.

Drabbats av DNS-krasch? Vad tog du med dig? Dela historien – gemensamma lärdomar bygger robustare system.

Read in other languages:

RU BG EL CS UZ TR FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN