Die .de-Registry DENIC eG hat nach einer umfassenden Nachuntersuchung ihren abschließenden Bericht zum DNS-Ausfall vom 05. Mai 2026 vorgestellt.
Demnach kam es an diesem Tag im Zuge eines regulären DNSSEC-Schlüsselwechsels zu einem DNS-Ausfall, der die Erreichbarkeit von .de-Domains für ca. drei Stunden erheblich einschränkte. Ursache war ein Fehler im Software-Code einer Eigenentwicklung, der einen Rollover-Agenten steuert und der dazu führte, dass ein Großteil der ausgelieferten DNSSEC-Signaturen nicht validierbar war. Bei der Umsetzung von Verbesserungen wurde der fehlerhafte Code in die Eigenentwicklung aufgenommen, ohne dass die vorhandenen Testszenarien diesen Fehlerfall abdeckten. Es gab bei alldem aber keine Anzeichen auf Kompromittierung oder Angriffe auf das Signiersystem oder andere Infrastruktur der DENIC. Erste Erkenntnisse, wie Verbesserungen im Code Review Prozess, wurden bereits umgesetzt. Darüber hinaus werden der Incident-Response-Prozess und die Kommunikation während einer Störung einem Review unterzogen und entsprechend angepasst. Wer sich mit den technischen Details des Ausfalls befassen will, dem kann die Lektüre des Berichts nur empfohlen werden.
ccTLDs