Datum: 05. Mai 2026
—
Seit dem frühen Abend des 5. Mai 2026 sind zahlreiche .de-Domains von einem Großteil der Internetnutzer nicht mehr erreichbar. Betroffen sind alle Resolver die DNSSEC-Validierung durchführen —
darunter Google (8.8.8.8), Cloudflare (1.1.1.1) und Quad9 (9.9.9.9). Das sind zusammen die DNS-Resolver von schätzungsweise 80–90 % aller deutschen Internetnutzer.
Auch netz-guru.de selbst ist betroffen.
—
Was ist DNSSEC?
DNSSEC (Domain Name System Security Extensions) ist eine Sicherheitserweiterung für das DNS. DNS ist das „Telefonbuch des Internets” — es übersetzt Domainnamen wie netz-guru.de in IP-Adressen. DNSSEC
ergänzt dieses System um kryptografische Signaturen, die sicherstellen, dass die Antwort tatsächlich vom autorisierten Nameserver stammt und nicht manipuliert wurde.
Damit DNSSEC funktioniert, muss jede Ebene der DNS-Hierarchie ihre Einträge signieren. Die .de-Zone wird von DENIC — der zuständigen Registry für alle .de-Domains — verwaltet und signiert.
—
Was ist heute passiert?
DENIC signiert die .de-Zone regelmäßig neu. Beim Signing-Durchlauf heute um ca. 17:49 UTC ist dabei ein Fehler unterlaufen: Für einen Teil der sogenannten NSEC3-Records wurden fehlerhafte (malformed)
kryptografische Signaturen erzeugt.
NSEC3-Records haben eine besondere Aufgabe: Sie beweisen, dass ein bestimmter Eintrag nicht existiert — zum Beispiel, dass eine Domain keinen DNSSEC-eigenen Schlüssel hinterlegt hat. Dieser Beweis ist
nötig, damit validierende Resolver wissen: „Diese Domain ist nicht DNSSEC-signiert, und das ist legitim.”
Wenn dieser Beweis eine defekte Signatur trägt, reagieren validierende Resolver mit SERVFAIL — sie verweigern die Auflösung, weil sie die Integrität nicht bestätigen können.
Die betroffenen NSEC3-Records decken jeweils einen Hash-Bereich ab und schlagen damit Dutzende oder Hunderte Domains auf einmal. Ein einziger defekt signierter Record genügt, um alle Domains in diesem
Bereich unerreichbar zu machen.
—
Wer ist betroffen?
Betroffen sind .de-Domains die:
– kein eigenes DNSSEC eingerichtet haben (also keine DS- oder DNSKEY-Records besitzen)
– deren NSEC3-Hash in einen der defekt signierten Bereiche fällt
Die Ironie: Gerade Domains ohne DNSSEC sind betroffen, weil ihr NSEC3-Proof kaputt ist. Domains mit korrekt eingerichtetem DNSSEC sind in diesem Fall nicht betroffen.
Wer einen nicht-validierenden Resolver verwendet — z.B. 141.1.1.1 (Freifunk Frankfurt) oder den eigenen Heimrouter ohne DNSSEC-Validierung — sieht das Problem nicht.
—
Was kann ich tun?
Als Nutzer (kurzfristig):
DNS-Server auf 141.1.1.1 oder den Router-eigenen Resolver umstellen. Damit umgeht man die DNSSEC-Validierung und die Domain ist wieder erreichbar. Sicherheitstechnisch ist das vertretbar, solange der
Fehler bei DENIC liegt und keine aktiven Angriffe im Spiel sind.
Als Domain-Inhaber:
Nichts — der Fehler liegt vollständig bei DENIC. Die eigene Zone ist korrekt, die Nameserver funktionieren, die Domain ist nur durch den kaputten Proof in der .de-Zone blockiert. Einzige Maßnahme:
DENIC unter dns-operations@denic.de informieren und auf den nächsten Signing-Durchlauf warten.
Wann ist es behoben?
DENIC signiert die Zone regelmäßig neu — typischerweise alle paar Stunden. Wenn der nächste Durchlauf korrekt verläuft, löst sich das Problem von selbst. Wie lange das dauert ist von außen nicht
vorhersagbar.
—
Fazit
Dieser Vorfall zeigt eindrucksvoll, wie kritisch DNSSEC-Infrastruktur ist — und wie ein einzelner Fehler auf TLD-Ebene tausende Domains gleichzeitig lahmlegen kann. DENIC betreibt eine der größten
länderspezifischen TLDs weltweit. Fehler in deren Signing-Infrastruktur haben entsprechend weitreichende Folgen.
Für alle Betroffenen: Es liegt nicht an eurer Domain, eurem Hoster oder euren Nameservern. DENIC ist dran — hoffentlich bald.
—
Dieser Artikel wurde am 05.05.2026 um ca. 23:30 Uhr verfasst. Stand: Problem aktiv, keine offizielle DENIC-Stellungnahme bekannt.