DNS-Panne legt .de-Domains lahm: Was steckt dahinter?

Am 5. Mai gab es im deutschen Internet einen Aussetzer. Nutzer, die .de-Webseiten aufrufen wollten, bekamen Fehlermeldungen, vor allem wenn ihre DNS-Server für DNSSEC-Signaturen eingestellt waren. Die Behebung dauerte bis zum frühen nächsten Tag. DENIC eG, die Gruppe, die diese Domains verwaltet, hat eine erste Erklärung abgegeben.

Laut dem Blog von DENIC nutzt ihr DNS Knot, einen Open-Source-Server von CZ.NIC, der tschechischen Domain-Verwaltungsgruppe. Diese Konfiguration, die sie im April 2026 aktualisierten, läuft mit individueller Software und Hardware Security Modules (HSMs).

Die Schlüssel-Kollision

Das Problem begann am 2. Mai mit einem routinemäßigen Schlüsseltausch. Ein neuer öffentlicher Schlüssel, ID 33834, wurde drei Tage zu früh eingesetzt. Ein Fehler in ihrem individuellen Code führte dazu, dass drei Schlüsselpaaren dieselbe ID zugewiesen wurde, aber nur ein öffentlicher Schlüssel veröffentlicht wurde. Dies verursachte einen Fehler, als der Schlüssel erstmals für SOA-Einträge genutzt wurde, da nur einige von DENICs Nameservern den richtigen privaten Schlüssel hatten.

Laut DENIC entstand der Fehler in einem Teil ihrer Software, der nicht vollständig getestet war, und er wurde bei Testläufen und im Parallelbetrieb übersehen. Trotz dreier Überwachungstools wurden die Alarme nicht richtig bearbeitet.

Schlüsselrotation ist Routine, aber dieser Vorfall zeigt Lücken bei Tests und Validierung.

Weitreichende Auswirkungen

Zunächst schien es, als wären nur Domains mit aktivem DNSSEC betroffen. Doch später erklärte DENIC, dass dies nicht stimmt. Das Problem betraf auch NSEC3-Einträge, die für den kryptographischen Nachweis der Nichtexistenz in DNSSEC wichtig sind. Ohne gültige NSEC3-Einträge schlug die DNSSEC-Validierung für alle .de-Domains fehl.

Dieser Vorfall zeigt, warum robuste Test- und Überwachungssysteme unerlässlich sind.

Hintergrund: DNS und Schlüsselverwaltung

DNSSEC sichert das Domain Name System, um sicherzustellen, dass Nutzer die echte Seite erreichen und nicht eine gefälschte. Aber die Verwaltung dieser Schlüssel ist heikel, und Fehler können große Störungen verursachen, wie der Ausfall der .de-Domain zeigt. Dies ist kein Einzelfall; ähnliche Probleme traten auch bei anderen Top-Level-Domains auf, wie der .ru TLD im Jahr 2024.

Vergleich mit anderen Fällen

Auch andere TLD-Verwalter hatten ähnliche Probleme. Der Vorfall mit der .ru TLD beinhaltete ebenfalls eine Schlüssel-Kollision und zeigt, dass die Technik zwar solide ist, aber das Management sorgfältige Aufmerksamkeit erfordert.

Was noch unklar ist

• Warum die Schlüssel-Kollision nur in der Produktion, nicht aber im Test auftrat.
• Details zum individuellen Code und den HSMs bleiben unklar.
• DENIC hat noch nicht dargelegt, wie sie dies in Zukunft verhindern wollen.

Fehlende Transparenz in proprietären Systemen kann das Verständnis und die Behebung solcher Probleme verlangsamen.

Warum das wichtig ist

Diese DNS-Panne verdeutlicht Schwachstellen in Domain-Management-Systemen. Da das digitale Leben immer wichtiger wird, ist es entscheidend, dass diese Systeme zuverlässig und sicher sind. Die Tech-Community, insbesondere jene in der DNSSEC-Infrastruktur, kann aus dem vollständigen Bericht von DENIC lernen. Diese Vorfälle unterstreichen die Notwendigkeit strenger Tests und klarer Kommunikation, um zukünftige Probleme zu verhindern.

Dies erinnert uns an das Gleichgewicht zwischen technischer Innovation und der Notwendigkeit solider, zuverlässiger Infrastruktur.