Am Abend des 05. Mai 2026 kam es im .de-DNS-Raum zu einer temporären Störung, die sich in Form von SERVFAIL-Antworten bei DNS-Abfragen äußerte. Betroffen waren DNSSEC-validierende Resolver, die Domains im .de-Namensraum zeitweise nicht mehr auflösen konnten.
Die Störung trat gegen 21:38 Uhr auf und dauerte – je nach Resolver-Cache – bis in die späten Abendstunden an.
DNSSEC als Auslöser der Störung
DNSSEC validiert DNS-Antworten kryptografisch über eine Vertrauenskette. Sobald Signaturen nicht mehr eindeutig überprüfbar sind, brechen Resolver die Auflösung konsequent ab.
Im vorliegenden Fall deuten mehrere unabhängige Analysen darauf hin, dass es im Rahmen eines ZSK-Rollovers innerhalb der .de-Zone zu Inkonsistenzen gekommen sein könnte.
Die .de-Zone wird durch die DENIC betrieben und regelmäßig mit neuen Zone Signing Keys (ZSK) signiert.
Hinweise aus Community-Analysen
In technischen Diskussionen und Auswertungen (u. a. auf Reddit sowie anhand von DNSViz-Analysen) wird ein Szenario beschrieben, bei dem ein neuer ZSK in die Signaturprozesse eingebunden wurde, während die zugehörigen Signaturen zeitweise nicht konsistent waren.
Beobachtet wurden dabei:
- wechselnde Validität von DNSSEC-Signaturen innerhalb kurzer Zeitfenster
- zeitweise inkonsistente SOA-Signaturen im .de-Namensraum
- Resolver-Meldungen wie DNSSEC Bogus / malformed signature
- intermittierende SERVFAIL-Antworten bei validierenden Resolvern
Ein in der Diskussion genannter Schlüsselwechsel (ZSK-Rollover) wird als möglicher Auslöser betrachtet, bei dem Signaturen und veröffentlichte DNSKEY-Daten zeitweise nicht vollständig synchron waren.
Warum solche Fehler große Auswirkungen haben
DNSSEC arbeitet strikt binär:
- gültige Signatur → Antwort wird akzeptiert
- ungültige oder nicht prüfbare Signatur → vollständiger Abbruch (SERVFAIL)
Dadurch können selbst kurzfristige Inkonsistenzen im Signaturprozess dazu führen, dass ganze Domains oder ein kompletter TLD-Bereich vorübergehend nicht erreichbar erscheinen.
Möglicher Ablauf des Ereignisses
Aus den analysierten Zeitverläufen ergibt sich folgendes Bild:
- Start eines ZSK-Rollovers innerhalb der .de-Zone
- zeitweise inkonsistente Signaturen in einzelnen Zonenteilen
- Resolver interpretieren Signaturen als nicht valide
- großflächige SERVFAIL-Antworten
- anschließender Rollback auf vorherigen Schlüssel
- Wiederherstellung der stabilen DNSSEC-Kette nach rund zwei Stunden
Einordnung der Ursache
Wichtig ist: Die genaue technische Ursache lässt sich öffentlich nicht abschließend verifizieren. In der Diskussion werden verschiedene mögliche Fehlerquellen genannt, darunter:
- fehlerhafte Signaturerzeugung
- inkorrekte Parameter im Signing-Prozess
- oder temporäre Inkonsistenzen im Rollout über mehrere Nameserver
Eine eindeutige Bestätigung durch die Betreiberin der .de-Zone liegt zum Zeitpunkt der Betrachtung nicht vor.
Diskussion und Community-Quellen
Die technische Analyse basiert auf öffentlich zugänglichen Messdaten (u. a. DNSViz) sowie einer ausführlichen Community-Diskussion auf Reddit, in der der Ablauf anhand von Zeitreihen und DNSSEC-Validierung nachvollzogen wurde.
👉 Diskussion: https://www.reddit.com/r/de_EDV/comments/1t4qlrg/comment/ok6dyej/
Fazit
Der Vorfall zeigt erneut die besondere Sensibilität von DNSSEC im produktiven Internetbetrieb. Selbst kurzfristige Inkonsistenzen in der Signaturkette können zu großflächigen Erreichbarkeitsproblemen führen, obwohl die eigentliche Infrastruktur weiterhin funktioniert.
DNSSEC erhöht damit die Sicherheit des Domain Name Systems erheblich – macht es jedoch gleichzeitig abhängig von strikt konsistenten Signaturprozessen auf TLD-Ebene.