När registry-infrastrukturen rasar: .de-kraschen och lärdomarna vi tar med oss

I maj förra året hände något konstigt i den tyska webben. Amazon.de låg nere. Telekom, DHL och Bahn försvann. Spiegel och andra stora sajter nåddes inte. Hosting-servrarna snurrade på. Domänerna var registrerade. DNS pekade rätt. Alla monitoreringsverktyg visade grönt – men miljoner användare såg bara timeouts.

Felet satt inte där folk letade.

Den dolda grunden som kollapsade

Registry-fel är som när husgrunden spricker. Färska penseldrag fixar det inte. DENIC, som sköter .de-zonen, hade precis rullat ut sin tredje generations infrastruktur. Ny kod. Godkända säkerhetstester. Allt verifierat. Sen kom den planerade key rotationen den 5 maj. Och kaoset bröt ut.

Så här gick det till: Systemet skulle skapa en kryptografisk signeringsnyckel för DNSSEC. Den nyckeln skulle spridas till tre säkerhetsenheter. Standardgrej för att verifiera DNS-svar – så du vet att du pratar med rätt domän, inte en angripare.

Men koden spottade ut tre olika nycklar. En publicerades. De andra två signerade på, helt inkompatibla. Två tredjedelar av .de:s DNSSEC-signaturer blev ogiltiga. Resolver som Google 8.8.8.8, Cloudflare 1.1.1.1 och Quad9 ratade svaren direkt och spottade ut fel.

Monitoreringens fälla

Det irriterande: DENICs egna verktyg fångade felet. Tre valideringssystem larmade inom minuter. Sen... tystnad. Inget hände. Tre timmar tog det att lösa. Och DENIC var inte först.

Det här är ett mönster att lägga på minnet. Automatisk monitorering utan snabb hantering är bara show. Gröna dashboards lurar dig att tro att allt är lugnt. Tills det inte är – och då har du miljoner drabbade och en tre timmars lucka i responsen.

Varför det slog olika – och varför det oroar

Nedgången var ojämn. Vissa såg totalt mörker. Andra märkte inget. Skillnaden? Vilken DNS-resolver du använde.

Moderna som Cloudflare 1.1.1.1 och Google tvingar DNSSEC-validering. De skippar ogiltiga signaturer. Gamla ISP-resolver? Många struntar i DNSSEC. De levererar svar ändå. Din mormors internet funkade medan din tech-startups kollapsade – bara för att resolvern skiljde sig.

Det visar ekosystemets svaghet: Säkerhetsnyheter biter bara om alla hänger på. Annars förstärker de fel istället för att stoppa dem.

Lektionen om DNS-säkerhet

Bara 3,6 procent av .de-domäner använder DNSSEC – runt 645 000 av 17,9 miljoner. Låg siffra begränsade skadan till stora, DNSSEC-skyddade sajter med validerande resolver. Små sajter klarade sig.

Men sanningen: Ju fler som adopterar DNSSEC (och det borde de), desto värre blir såna här incidenter. Säkerhet kostar i övergången. Inga genvägar.

Vad det betyder för din domänstrategi

Kör du kritiska domäner? Låt .de-kraschen ändra ditt tänk kring DNS:

Sprid risken med resolver. Satsa inte på en enda. Kör flera parallellt. Övervaka vilken som faktiskt används. Vissa appar kan växla automatiskt.

Kolla registryns responsrutiner. Alla ccTLD:er hanterar inte fel likadant. För stora .de-sajter: Lär dig DENICs processer. Deras rapport var öppen, men larmfördröjningen blottade svagheter.

DNSSEC är ett måste – men testa det. Kraschen kom på grund av DNSSEC, via key-fel. Slipp inte det. Kräv tester, validering och snabb fix från registryn.

Monitorera på rätt nivå. Hostingens gröna lampor räcker inte om registryn krashar. Lägg in registry-kontroller i dina hälsochecks. Cloudflare-verktyg ger tidig varning.

Cloudflares roll

Cloudflare fixade det först. Inte slump. Deras 1.1.1.1 drabbades direkt. Global infrastruktur lät dem isolera felet snabbt. De ser DNS-problem i stor skala.

Därför: Välj DNS-leverantör med koll på nätverket. Inte bara "funkar det?".

Vad som fixades på riktigt

DENIC uppdaterade key rotationen. Förbättrade larmkedjan. Tredje generations-koden debuggades, inte rivs ut. Monitoringen uppgraderades för att tvinga respons.

Tråkiga lösningar: Bättre tester, larm och rutiner. Men det stoppar nästa tre-timmarskaos.

Den stora lärdomen

Registry-infrastruktur är blind fläck för de flesta. Registraren sköter det. ccTLD:n hanterar det. Du fixar DNS och hosting. Alla i sin bana.

Men banor korsas. När de gör det räcker det med koll på registrar, resolver och registry-respons. .de visar: Du kan inte lägga all DNS-säkerhet på andra. Förstå lagren under din app, även om någon annan driver dem.

Det är maj 2026:s verkliga infrastrukturlektion: De värsta felen slår där du inte styr – just därför måste du fatta dem.