Stand 8.5.2026
Im Rahmen eines regulären DNSSEC-Schlüsselwechsels am 5.5.2026 wurden teilweise nicht validierbare Signaturen erzeugt und verteilt. Hierdurch konnten validierende Resolver ihre DNS-Antworten für .de-Domains zeitweise nicht erfolgreich verifizieren. Dies führte zu spürbaren Einschränkungen bei der Erreichbarkeit von .de-Domains für ca. drei Stunden. Der reguläre Betrieb wurde in der Nacht zum 6. Mai vollständig wiederhergestellt.
Wodurch wurden nicht validierbare Signaturen erzeugt?
Der DNSSEC-Signaturprozess für DE setzt Standardsoftware (Knot) und Eigenentwicklungen in Verbindung mit Hardware Security Modulen (HSMs) ein. Im April 2026 haben wir die dritte Generation dieses Systems (seit der DNSSEC-Einführung 2011) in Betrieb genommen. Die Systeme wurden vorab getestet und extern auditiert. Bei der Umsetzung von Verbesserungen wurde ein fehlerhaftes Stück Code in die Eigenentwicklung aufgenommen, das durch die Testszenarien nicht vollständig abgedeckt wurde und darum weder bei Testläufen, noch im "kalten" Parallelbetrieb vor der Inbetriebnahme als defekt erkannt wurde. In der Folge wurden für dasselbe "Key Tag" (33834) statt eines einzigen, drei verschiedene Schlüsselpaare erzeugt, von denen nur der Public Key eines einzigen im DNSKEY RR hinterlegt wurde, sodass nur etwa ein Drittel der RRSIG RRs validierbar war. Da der SOA-Record mit jeder Zonenänderung wegen der Seriennummer neu erzeugt und damit auch signiert werden muss, war dieser im Verlauf teils validierbar, teils nicht validierbar.
Warum wurde eine nicht validierbare DE-Zone veröffentlicht?
Die DE-Zone wird über das Registrierungssystem regelmäßig aktualisiert und die dabei entstehenden Veränderungen an den RRSets werden wegen der Größe der Zone inkrementell eingepflegt. Die einzelnen Versionen der Zone (nach SOA-Seriennummer) liegen dabei nicht als "Zonendatei" vor. Wir wenden auf die produktive DE-Zone drei verschiedene dauerhaft laufende Prüf- und Validierungswerkzeuge an, um etwaige Anomalien, eingeschlossen fehlende oder nicht validierbare Signaturen, zu erkennen. Diese Systeme haben bestimmungsgemäß detektiert, die Meldungen wurden allerdings nicht korrekt verarbeitet.
Wie sahen die Auswirkungen genau aus?
Die Validierbarkeit von DNS-Antworten hängt bei einer TLD-Zone, die in großer Mehrheit "Referral Responses" (also Delegationsinformationen) liefert, auch von signierten NSEC3-RRs ab, insbesondere, wenn bei einer nicht signierten Child Zone die Abwesenheit des DS-Records "bewiesen" werden muss.
Nicht validierbare Signaturen über NSEC3-Records führen dazu, dass die Delegationsinformation von Resolvern als Verdachtsfall ("Bogus") eingestuft wird, wodurch auch solche Secondlevel-Domains nicht auflösbar waren, für die gar kein DNSSEC eingesetzt wird.
Einige Betreiber großer Resolver hatten vorübergehend die Validierung von DE-Domains ausgesetzt und dadurch die Auswirkungen für ihre Nutzer abgemildert. Wir bedanken uns für die Hilfe.
Mehr technische Details dazu veröffentlichen wir im Blog, wenn die Auswertungen abgeschlossen sind.
Die Informationen beruhen auf bisherigen Erkenntnissen und im Detail können sich noch Abweichungen ergeben.
