DENIC behebt DNSSEC-Störung in der .de-Zone — eine kurze Erinnerung an die Vertrauenskette
In der Nacht vom 5. auf den 6. Mai 2026 brach durch einen fehlerhaften DNSSEC-Rollover bei DENIC die Trust-Chain für die gesamte .de-Zone. DENIC hat den Fehler korrigiert. Was zurückbleibt, ist eine nüchterne Erinnerung daran, dass Validierung im Default-Pfad inzwischen tatsächlich greift — mit allen Konsequenzen.
DNSSEC-Panne in der .de-Zone — was bleibt
Was passiert ist
In der Nacht vom 5. auf den 6. Mai 2026 hat DENIC bei einem Zone-Signing-Key-Rollover in der .de-Zone eine ungültige Signatur ausgespielt. Das Resultat: Die DNSSEC-Trust-Chain für die gesamte .de-Top-Level-Domain brach an der Wurzel, validierende Resolver lieferten SERVFAIL, und durch Caching-Effekte war das Bild verteilt — manche Nutzer sahen .de-Domains gar nicht mehr, andere völlig normal.
Betroffen waren ausdrücklich die DNSSEC-validierenden Resolver. Wer DNSSEC weder bei seinem ISP-Resolver noch bei einem Public-Resolver wie Quad9 oder Cloudflare validierend nutzt, hat von der Störung wenig bis nichts mitbekommen.
DENIC hat den Fehler nach eigenen Angaben in einigen Stunden korrigiert und meldet alle Systeme wieder als Operational. Auf der DENIC-Statusseite und im DENIC-Blog steht der Vorgang als behoben.
Was wir daraus mitnehmen
Zwei Beobachtungen, ohne Drama.
Erstens: DNSSEC funktioniert wie spezifiziert. Eine ungültige Signatur an der Wurzel führt zur Nichterreichbarkeit, weil das Protokoll keine Wahl lässt: kein Vertrauen, keine Antwort. Das ist kein Bug, das ist das Design. Und es zeigt, dass die Validierung im Default-Pfad vieler Resolver inzwischen tatsächlich greift — was bei aller Unbequemlichkeit eine gute Nachricht ist.
Zweitens: Resilienz auf Seiten der eigenen Infrastruktur ist ein Thema. Wer eine .de-Domain als kritischen Geschäfts-Endpunkt betreibt, sollte zwei Dinge im Werkzeugkasten haben: ein Monitoring, das DNSSEC-Validierungs-Fehler erkennt, bevor Kunden anrufen, und eine dokumentierte Eskalationsroute, falls die Erreichbarkeit aus Gründen außerhalb der eigenen Kontrolle bricht. Beides ist nichts Exotisches, aber es muss eingerichtet sein, wenn die Störung kommt — nicht währenddessen.
Für die meisten Mittelständler ist heute keine Sofortmaßnahme nötig. Wer am Abend gemerkt hat, dass die eigene Domain für einen Teil der Besucher nicht erreichbar war, kann das jetzt verbuchen — und die Gelegenheit nutzen, das eigene DNS-Monitoring kurz zu prüfen.
Wenn Ihr DNS-Monitoring gerade nach Sichtkontrolle ruft
Wenn Sie nach dem Lesen merken, dass Ihre Erreichbarkeits-Überwachung das gestern Abend nicht gesehen hätte, ist ein 30-Minuten-Erstgespräch der niedrigschwellige nächste Schritt — kein Pitch, kein Sales-Funnel, ein ehrlicher Lagecheck.