{"id":324768,"date":"2026-05-08T20:14:21","date_gmt":"2026-05-08T18:14:21","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=324768"},"modified":"2026-05-08T21:36:58","modified_gmt":"2026-05-08T19:36:58","slug":"denic-post-incident-bericht-dns-ausfall-5-mai-2026","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/05\/08\/denic-post-incident-bericht-dns-ausfall-5-mai-2026\/","title":{"rendered":"DENIC Post-Incident-Bericht DNS-Ausfall (5. Mai 2026)"},"content":{"rendered":"

Zum 5. Mai 2026 kam es zu einer gro\u00dffl\u00e4chigen St\u00f6rung bei der Erreichbarkeit von .de-Domains. Die DNS-Aufl\u00f6sung der DENIC hatte ein technisches Problem, worauf die .de-Domains \u00fcber Stunden nicht erreichbar waren. Nun hat die DENIC ihren Post-Incident-Report zum DNS-Ausfall am 5. Mai 2026 ver\u00f6ffentlicht.<\/p>\n

<\/p>\n

Kurzer R\u00fcckblick auf das Problem<\/h2>\n

Die DENIC hatte in der Nacht vom 5. Mai 2026 ab ca. 22:00 Uhr eine Gro\u00dfst\u00f6rung. Es gab Probleme mit DNS-Aufl\u00f6sungen f\u00fcr die .de Zone, worauf Webseiten nicht mehr erreichbar waren. Gegen\u00a023:09 Uhr deutscher Zeit gab es bereits einen St\u00f6rungsbericht der DENIC, der diese Probleme best\u00e4tigte.<\/p>\n

Frankfurt am Main, 5 May 2026 \u2013 DENIC eG is currently experiencing a disruption in its DNS service for .de domains. As a result, all DNSSEC-signed .de domains are currently affected in their reachability.<\/p>\n

The root cause of the disruption has not yet been fully identified. DENIC's technical teams are working intensively on analysis and on restoring stable operations as quickly as possible.
\nBased on current information, users and operators of .de domains may experience impairments in domain resolution. Further updates will be provided as soon as reliable findings on the cause and recovery are available.<\/p><\/blockquote>\n

Ich hatte die Information \u00fcber die St\u00f6rung mit den mir zug\u00e4nglichen Informationen zum 6. April 2026 im Beitrag\u00a0SSL.com rotiert Root-Zertifikate am 5.5.2026; es hat bei der Denic gerumpelt<\/a> dokumentiert.<\/p>\n

Post-Incident-Report der DENIC<\/h2>\n

\"\"Gerade ist mir auf X der nachfolgende Tweet<\/a> untergekommen, der die Ver\u00f6ffentlichung des Post-Incident-Reports\u00a0Analyse des DNS-Ausfalls vom 5. Mai 2026<\/a> der DENIC angek\u00fcndigt hat.<\/p>\n

\"DENIC<\/p>\n

Die DENIC best\u00e4tigt, was eigentlich bekannt war: Bei einem am 5. Mai 2026 planm\u00e4\u00dfig vorgenommenen, regul\u00e4ren DNSSEC-Schl\u00fcsselwechsels\u00a0 wurden teilweise nicht validierbare Signaturen erzeugt und verteilt. Dies hatte zur Folge, dass validierende Resolver ihre DNS-Antworten f\u00fcr .de-Domains zeitweise nicht erfolgreich verifizieren konnten. Die Webseiten von .de-Domains waren \u00a0ca. drei Stunden nicht mehr abrufbar.<\/p>\n

Eigener Code generiert falsche Signaturen<\/h3>\n

Interessant ist der Hintergrund dieses Vorfalls. Die DENIC setzt f\u00fcr den DNSSEC-Signaturprozess f\u00fcr die TLD .DE Standardsoftware (Knot) und Eigenentwicklungen in Verbindung mit Hardware Security Modulen (HSMs) ein. Im April 2026 wurde die dritte Generation dieses Systems (seit der DNSSEC-Einf\u00fchrung 2011) in Betrieb genommen.<\/p>\n

Die Systeme wurden laut DENIC zwar vorab getestet und extern auditiert. Bei der sich anschlie\u00dfenden Umsetzung von Verbesserungen wurde dann ein fehlerhaftes St\u00fcck Code in die Eigenentwicklung aufgenommen.<\/p>\n