|
05.05.2026 23:24 Uhr |
Wenn Sie diese Nachricht auf heise.de am Abend des 5. Mai lesen, war die IP-Adresse für die Domain heise.de noch in einem DNS-Cache gespeichert. Wer hingegen in den Abendstunden versucht, eine deutsche .de-Domain aufzulösen, erhält vom DNS-Server regelmäßig die Antwort NXDOMAIN.
DENIC hat die Signatur der .de-Zone in der Nacht auf Mittwoch erneuert, sodass die DNSSEC-Validierung wieder korrekt erfolgen kann. Details zur Ursache des Fehlers liegen noch nicht vor.
Erste Hinweise auf das Problem erreichten uns gegen 21:50. Für Nutzer äußert sich das Problem durch nicht funktionierende Apps (wie die der Deutschen Bahn), Fehlermeldungen im Browser und im Mailprogramm. Einen Ausweg für Nutzer gibt es derzeit noch nicht. Es hilft auch nicht, den DNS-Anbieter auf dem eigenen Rechner oder im Router zu ändern – die Fehler treten sowohl mit den DNS-Servern von Google (8.8.8.8), Cloudflare (1.1.1.1) als auch mit denen der Provider selbst auf. Das Problem ist auch nicht auf einzelne Internet Provider beschränkt, sondern betrifft alle DNS-Server, die DNSSEC validieren.
Die Spurensuche mit dem Kommandozeilenwerkzeug dig führt zu einem Konfigurationsfehler für die Zone .de:
Ein RRSIG-Eintrag enthält eine digitale Signatur, die die Echtheit einer DNS-Antwort bestätigt. Der SOA-Eintrag für die Zone .de ist aktuell nicht gültig signiert.
Die für .de-Domains zuständige Denic hat auf Ihrer Status-Website (status.denic.de) kurz nach 22:55 Uhr einen Hinweis veröffentlicht: Es bestehe eine „Partial Service Disruption“. Weitere Informationen folgen.
Wer in den Abendstunden auf .de-Domains angewiesen ist, kann zur Umgehung des Problems einen DNS-Server im eigenen Router oder in den Netzwerkeinstellungen des Computers hinterlegen, der DNSSEC nicht validiert. Ein solcher wird zum Beispiel von Level 3 unter den Adressen 4.2.2.1 und 4.2.2.6 betrieben. Quad9 betreibt einen nicht-validierenden Server unter der Adresse 9.9.9.10.
Denic hat um 23:28 ein Statusupdate auf seiner Website veröffentlicht. Darin heißt es unter anderem: „DENIC eG verzeichnet derzeit eine Störung des DNS-Dienstes für .de-Domains. Infolgedessen sind derzeit alle DNSSEC-signierten .de-Domains in ihrer Erreichbarkeit beeinträchtigt.“ Das deckt sich nicht mit unseren Beobachtungen: Betroffen sind auch .de-Domains, die nicht mit DNSSEC signiert sind. Weiter schreibt DENIC: „Die Ursache der Störung ist noch nicht vollständig geklärt. Die technischen Teams von DENIC arbeiten intensiv an der Analyse und daran, den stabilen Betrieb so schnell wie möglich wiederherzustellen.“ Kontaktieren könne man die Genossenschaft „über die üblichen Kanäle“ – E-Mails an die Domain denic.de dürften derzeit nicht der beste Kanal sein.
Unterdessen hat Cloudflare, Betreiber des DNS-Servers 1.1.1.1, reagiert. Über den Nachrichtendienst X gab Dane Knecht, CTO bei Cloudflare, bekannt, dass man die DNS-Validierung für .de-Domains deaktiviert habe. Im RFC 7646 wurde dafür ein Verfahren vorgesehen.
(jam)