Zum 5. Mai 2026 kam es zu einer großflächigen Störung bei der Erreichbarkeit von .de-Domains. Die DNS-Auflösung der DENIC hatte ein technisches Problem, worauf die .de-Domains über Stunden nicht erreichbar waren. Nun hat die DENIC ihren Post-Incident-Report zum DNS-Ausfall am 5. Mai 2026 veröffentlicht.
Kurzer Rückblick auf das Problem
Die DENIC hatte in der Nacht vom 5. Mai 2026 ab ca. 22:00 Uhr eine Großstörung. Es gab Probleme mit DNS-Auflösungen für die .de Zone, worauf Webseiten nicht mehr erreichbar waren. Gegen 23:09 Uhr deutscher Zeit gab es bereits einen Störungsbericht der DENIC, der diese Probleme bestätigte.
Frankfurt am Main, 5 May 2026 – DENIC eG is currently experiencing a disruption in its DNS service for .de domains. As a result, all DNSSEC-signed .de domains are currently affected in their reachability.
The root cause of the disruption has not yet been fully identified. DENIC's technical teams are working intensively on analysis and on restoring stable operations as quickly as possible.
Based on current information, users and operators of .de domains may experience impairments in domain resolution. Further updates will be provided as soon as reliable findings on the cause and recovery are available.
Ich hatte die Information über die Störung mit den mir zugänglichen Informationen zum 6. April 2026 im Beitrag SSL.com rotiert Root-Zertifikate am 5.5.2026; es hat bei der Denic gerumpelt dokumentiert.
Post-Incident-Report der DENIC
Gerade ist mir auf X der nachfolgende Tweet untergekommen, der die Veröffentlichung des Post-Incident-Reports Analyse des DNS-Ausfalls vom 5. Mai 2026 der DENIC angekündigt hat.
Die DENIC bestätigt, was eigentlich bekannt war: Bei einem am 5. Mai 2026 planmäßig vorgenommenen, regulären DNSSEC-Schlüsselwechsels wurden teilweise nicht validierbare Signaturen erzeugt und verteilt. Dies hatte zur Folge, dass validierende Resolver ihre DNS-Antworten für .de-Domains zeitweise nicht erfolgreich verifizieren konnten. Die Webseiten von .de-Domains waren ca. drei Stunden nicht mehr abrufbar.
Eigener Code generiert falsche Signaturen
Interessant ist der Hintergrund dieses Vorfalls. Die DENIC setzt für den DNSSEC-Signaturprozess für die TLD .DE Standardsoftware (Knot) und Eigenentwicklungen in Verbindung mit Hardware Security Modulen (HSMs) ein. Im April 2026 wurde die dritte Generation dieses Systems (seit der DNSSEC-Einführung 2011) in Betrieb genommen.
Die Systeme wurden laut DENIC zwar vorab getestet und extern auditiert. Bei der sich anschließenden Umsetzung von Verbesserungen wurde dann ein fehlerhaftes Stück Code in die Eigenentwicklung aufgenommen.
- Die Prüfung dieses Codes war durch die Testszenarien nicht vollständig abgedeckt.
- Und der fehlerhafte Code wurde daher weder bei Testläufen, noch im "kalten" Parallelbetrieb vor der Inbetriebnahme als defekt erkannt.
In der Folge wurden für dasselbe "Key Tag" (33834) statt eines einzigen, drei verschiedene Schlüsselpaare erzeugt. Von diesen drei Schlüsselpaaren wurde nur der Public Key eines einzigen im DNSKEY RR hinterlegt. Dadurch war nur etwa ein Drittel der RRSIG RRs validierbar war.
Da der SOA-Record mit jeder Zonenänderung wegen der Seriennummer neu erzeugt und damit auch signiert werden muss, war dieser im Verlauf teils validierbar, teils nicht validierbar. Die Validierbarkeit von DNS-Antworten hängt bei einer TLD-Zone auch von signierten NSEC3-RRs ab, insbesondere, wenn bei einer nicht signierten Child Zone die Abwesenheit des DS-Records "bewiesen" werden muss, schreibt die DENIC.
Nicht validierbare Signaturen über NSEC3-Records führen dazu, dass die Delegationsinformation von Resolvern als Verdachtsfall ("Bogus") eingestuft wird. Dadurch sind auch solche Second-Level-Domains, für die gar kein DNSSEC eingesetzt wird, nicht auflösbar.
Einige Betreiber großer Resolver hatten vorübergehend die Validierung von DE-Domains ausgesetzt und dadurch die Auswirkungen für ihre Nutzer abgemildert. Mehr technische Details dazu will die DENIC im Blog veröffentlichen, wenn die Auswertungen abgeschlossen sind.
MVP: 2013 – 2016
