DNSSEC-Panne bei .de-Domains: Denic gibt erste Details bekannt

Am Abend des 5. Mai 2026 kam es bekanntlich zu einem spürbaren Ausfall im deutschen Internet. Viele .de-Domains waren nicht erreichbar, sobald ein DNS-Server im Einsatz war, der DNSSEC-Signaturen prüft. Erst nach Mitternacht stabilisierte sich die Lage wieder vollständig. Die zuständige Registrierungsstelle DENIC hat inzwischen Details zur Ursache veröffentlicht.

Im Zentrum des Problems stand wohl die DNSSEC-Infrastruktur, die im April auf eine neue Generation umgestellt worden war. Dabei kommt die Open-Source-Software Knot zum Einsatz, ergänzt durch eigene Entwicklungen und spezielle Hardware zur Schlüsselverwaltung. Beim routinemäßigen Austausch eines kryptografischen Schlüssels Anfang Mai trat jedoch ein Fehler im selbst entwickelten Code auf. Dieser sorgte dann dafür, dass mehrere Schlüssel mit identischer Kennung erzeugt wurden, obwohl nur einer davon öffentlich bekannt gemacht wurde. In der Folge verwendeten nicht alle Nameserver den passenden privaten Schlüssel, was schließlich zu ungültigen Signaturen führte.

Besonders kritisch war, dass zentrale Einträge wie der SOA-Datensatz und auch NSEC3-Einträge betroffen waren. Letztere sind essenziell, um die Integrität von DNSSEC zu gewährleisten. Ohne gültige Signaturen schlugen die Prüfmechanismen fehl, sodass letztlich alle .de-Domains betroffen waren und nicht nur solche mit aktivem DNSSEC.

Die DENIC räumt ein, dass der Fehler in Tests nicht erkannt wurde, da ein Teil des Codes nicht ausreichend abgedeckt war. Zwar hätten mehrere Prüfwerkzeuge Alarm geschlagen, doch seien deren Hinweise nicht korrekt ausgewertet worden. Einige Fragen bleiben bislang offen, etwa warum das Problem nur im Produktivsystem auftrat und nicht in Testumgebungen. Eine abschließende Analyse und konkrete Maßnahmen zur Vermeidung ähnlicher Fehler stehen noch aus.