0201 / 89 08 36 – 50
·

Ausfall der .de-TLD

cropped profile.jpg

Timo Tegtmeier

DENIC Logo

Heute Nacht waren weite Teile des deutschsprachigen Raums des Internets plötzlich nicht mehr erreichbar: Durch einen technischen Fehler bei der DENIC war die Namensauflösung nicht mehr möglich.

Hintergrund

Im Rahmen regulärer Wartungsarbeiten wurde am 05.05.2026 ein Schlüsseltausch vorgenommen. Dabei ging offensichtlich etwas schief – die DENIC ist selbst noch im Unklaren, was genau.

Die unmittelbare Folge des Fehlers beim Schlüsseltausch waren ungültige Signaturen für die .de-Rootzone des DNS. Im Ergebnis waren validierende Resolver, als solche, die DNSSEC nutzen, um die Integrität der DNS-Daten zu prüfen, nicht mehr in der Lage, .de-Domains korrekt auf eine IP-Adresse aufzulösen – stattdessen gab es Fehlermeldungen.

Der Fehler wurde von der DENIC innerhalb von etwa 2h gefunden und behoben. Zwischenzeitlich hatten einige große DNS-Anbieter bereits die Validierung temporär deaktiviert. Die DENIC war also ziemlich flott.

Es wird allerdings spannend sein zu sehen, was der eigentlich Root-Cause ist. Bis auf weiteres wurde der reguläre Schlüsseltausch erst einmal ausgesetzt.

Kann ich mich dagegen wappnen?

Grundsätzlich ja. Allerdings erfordert dies den Betrieb einer eigenen DNS-Infrastruktur. Im konkreten Fall hätte dann ein Administrator die Validierung für .de-Domains abschalten müssen.

Damit hätte das eigene Unternehmen wieder Zugriff auf .de-Domains – erreichbar wäre es für die meisten Nutzer von außen deshalb aber noch immer nicht.

Darüber hinaus ist ein solcher Workaround nicht ungefährlich: DNSSEC existiert nicht ohne Grund. Es abzuschalten ist unter Sicherheitsgesichtpunkten keinesfalls zu empfehlen. Entsprechend sollte sehr genau abgewägt werden, ob ein solches Vorgehen Sinn ergibt.

Wie geht es weiter?

Nachdem die DENIC die korrigierte DNS-Zonen veröffentlicht hatte, normalisierte sich die Lage schnell wieder. DNS hat zwar eine gewisse Trägheit, aber begünstigt durch die Tatsache, dass die Störung am späten Abend, fast schon in der Nacht auftrat, haben viele Nutzer gar nichts davon mitbekommen.

Für die DENIC gilt es nun zu klären, was genau schief gelaufen ist. Fehler sind menschlich und passieren – nur bitte nicht zwei Mal. Deshalb ist es wichtig, die Ursache genau zu verstehen, um sie so künftig vermeiden zu können.

, , ,