DNS-Ausfall bei .de-Domains, Millionen deutscher Websites zeitweise offline
-
-
Lokalisiert von
Paul Pauli
Millionen deutscher Websites waren am Dienstagabend nicht erreichbar, diverse Apps funktionierten nicht mehr. Deutschlands Top-Level-Domain (TLD) .de war komplett ausgefallen.
Für Nutzerinnen und Nutzer waren Websites wie Amazon.de plötzlich nicht mehr aufrufbar. Das Fachmagazin Heise.de berichtet, dass wichtige Dienste im ganzen Land ausfielen, darunter auch die App der Deutschen Bahn.
DNS-Resolver weltweit stellten die Auflösung von .de-Domains ein, nachdem es bei der DENIC eG, der Registry, die Deutschlands Top-Level-Domain verwaltet, zu Störungen gekommen war.
Zwischen etwa 19:15 und 22:30 Uhr UTC am 5. Mai lieferten DNS-Abfragen den Fehlercode SERVFAIL zurück. Das ist ein Anzeichen dafür, dass der DNS-Resolver keine gültige Antwort zurückgeben konnte. Das zeigen auch Daten von Cloudflare Radar.
Die DENIC reagierte rasch und räumte „eine Störung im DNS-Dienst für .de-Domains“ ein. Die Registry erklärte zudem, die Ursachenanalyse sei zum Zeitpunkt der Wiederherstellung aller Systeme noch nicht abgeschlossen gewesen.
An den Websites selbst oder ihren DNS-Einträgen lag das Problem nicht.
Cloudflare wies darauf hin, dass „offensichtliche DNSSEC-Probleme“ die .de-Domains beeinträchtigten. DNSSEC steht für DNS Security Extensions – eine Sicherheitserweiterung, die bestehenden DNS-Einträgen kryptografische Signaturen hinzufügt, um deren Unversehrtheit zu belegen.
Einige Netzwerkingenieure vermuten, dass eine fehlerhafte Rotation des Sicherheitsschlüssels die Systeme zum Absturz brachte. Wie Nutzer auf Hacker News berichteten, deuteten die DNS-Fehler auf fehlerhafte Signaturen hin, weshalb Resolver die Anfragen ablehnten.
„Laut DENICs FAQ rotiert der .de Zone Signing Key alle fünf Wochen per Pre-Publish – das riecht stark nach einem missglückten Rollover“, schrieb einer der Nutzer.
Leonard M. Schmedding, Mitgründer und Chief AI Officer bei Everlast AI, errechnet, dass die Störung die gesamte .de-Zone mit 17,7 Millionen Domains lahmlegte. Nur deshalb, weil der Zone Signing Key einen fehlerhaften Signatureintrag erzeugte.
„Das ist die digitale Infrastruktur, auf der unsere Wirtschaft läuft“, schrieb Schmedding auf X.
„Kein Hacker-Angriff. Kein Provider-Problem. Ein einzelner kryptographischer Schlüssel bei einer einzigen Behörde in Frankfurt, und halb Deutschland ist offline. 17,7 Millionen Domains. Ein Single Point of Failure.“
Die Störung veranlasste Cloudflares öffentlichen DNS-Dienst dazu, die DNSSEC-Validierung für alle .de-Domains vorübergehend zu deaktivieren, um Websites für Nutzer erreichbar zu halten, während die DENIC an der Behebung des Problems arbeitete.
Der Einsatz nicht validierender DNS-Resolver kann als Workaround dienen, wenn Websites aufgrund von DNSSEC-Fehlern nicht erreichbar sind.
Entdecke weitere exklusive Cybernews-Reportagen bei YouTube.