Am gestrigen Abend waren zahlreiche .de-Domains nicht mehr erreichbar. Betroffen waren Domains mit DNSSEC-Signierung, also einem kryptografischen Schutzmechanismus gegen Manipulationen wie DNS-Spoofing. Als zentrale Registry für alle .de-Domains ist DENIC die einzige Institution, die diese Infrastruktur betreibt.

Konkret konnten DNSSEC-signierte .de-Domains zeitweise nicht oder nur eingeschränkt erreichbar sein. Fällt die Signaturprüfung durch einen Fehler in der Registry-Infrastruktur aus, verweigern viele Resolver den Zugriff auf die betroffene Domain – ein Mechanismus, der Nutzer eigentlich schützen soll und in diesem Fall zum Erreichbarkeitsproblem wurde.

Die genaue Ursache der Störung war zum Zeitpunkt der ersten Meldung nicht bekannt. DENIC teilte mit, die technischen Teams arbeiteten an Analyse und Behebung. Betroffene Nutzer und Domainbetreiber wurden auf weitere Informationen vertröstet, sobald gesicherte Erkenntnisse vorlägen.

Heute früh erklärte DENIC die Störung dann für behoben. Alle Systeme liefen nach Angaben der Registry wieder stabil. Die Ursache ist jedoch weiterhin Gegenstand der Analyse; DENIC kündigte an, Ergebnisse zu einem späteren Zeitpunkt zu veröffentlichen. Für Betreiber von .de-Domains mit DNSSEC verdeutlicht der Vorfall die strukturelle Abhängigkeit von zentraler DNS-Infrastruktur. Wie es zu dem Ausfall kam und welche Konsequenzen DENIC daraus zieht, bleibt vorerst offen.

Fehlerhafte RRSIG-Signatur

Eine technische Analyse des IT-Sicherheitsunternehmens Blackfort Technology liefert konkretere Hinweise auf den Auslöser. Demnach enthielt die .de-Zone einen NSEC3-Record mit einer kryptografisch fehlerhaften RRSIG-Signatur (Keytag 33834). NSEC3-Records dienen als signierter Nachweis, dass ein bestimmter Domainname in der Zone nicht existiert - etwa kein DS-Record (Delegation Signer) für eine Domain vorliegt.

Da ein einzelner NSEC3-Record einen ganzen Hash-Bereich abdeckt, waren laut Blackfort-Analyse mehrere prominente Domains betroffen, die keinerlei gemeinsame Infrastruktur teilen: darunter bahn.de, spiegel.de und blackfort-tec.de. Kerataktisch: Keine dieser Domains nutzte selbst aktiv DNSSEC - sie wurden dennoch Opfer des fehlerhaften Verneinungsnachweises in der übergeordneten Zone.

Bemerkenswert ist laut der Analyse zudem, wie selektiv der Ausfall sichtbar war. Betroffen waren ausschließlich Nutzer, deren Resolver DNSSEC-Signaturen aktiv prüfen – also etwa Google Public DNS (8.8.8.8), Cloudflare (1.1.1.1) und Quad9 (9.9.9.9). Viele deutsche ISP-Resolver verzichten hingegen auf diese Prüfung, weshalb ein Großteil der Nutzer die betroffenen Domains weiterhin ungestört erreichen konnte.

Das erklärt, warum öffentliche Berichte über den Vorfall zunächst ausblieben, obwohl Domains mit hohem Traffic betroffen waren. DENIC behob das Problem Blackfort zufolge um 20:15 UTC mit einem gezielten Signing-Run unter neuem Schlüssel (Keytag 32911); danach normalisierten sich die Resolver-Antworten nach Ablauf der TTL vollständig.