Am 5. Mai um 21:43 kam es für Domainen mit ".de" zu Problemen, sofern der verwendete DNS-Server DNSSEC-Signaturen validierte. In der Nacht nach 1 Uhr konnte das Problem behoben werden. DENIC eG verwaltet diese Domains und ist für die DNSSEC-Konfiguration der Zone .de verantwortlich.

DENIC schreibt dazu in einem Blogbeitrag, dass die DNS-Server die Software Knot nutzen, ein Open-Source-Serverdienst, der von der tschechischen Domain-Verwaltungsorganisation CZ.NIC, Verwalterin der Domain .cz, gepflegt wird. Knot läuft bei der DENIC zusammen mit „Eigenentwicklungen in Verbindung mit Hardware Security Modulen (HSMs)“. Diese Infrastruktur habe man im April 2026 auf die dritte Generation umgestellt.

Am 2. Mai wurde mit dem Tausch des Zone-Signing-Keys begonnen. Es wurde ein öffentlicher Schlüssel mit der ID 33834 veröffentlicht. Allerdings befand sich im selbstentwickelten Teil des Codes ein Fehler, der dazu führte, dass auf den Servern gleich drei Schlüsselpaare mit dem Tag 33834 erzeugt wurden. Das Fehlerbild entstand, als dieser Schlüssel erstmals benutzt wurde, um SOA-Einträge zu signieren. Mit Werkzeugen wie dnsviz.com konnte dies nachverfolgt werden. Der korrekte private Schlüssel wurde nur von einem Teil der sechs DENIC-Nameserver genutzt, der zum öffentlichen Schlüssel passte, die anderen lieferten immer ungültige Signaturen aus.

Die DENIC-Verantwortlichen erläutern, dass ein Codeabschnitt in der selbstgebauten Software „durch die Testszenarien nicht vollständig abgedeckt wurde und darum weder bei Testläufen, noch im ‚kalten‘ Parallelbetrieb vor der Inbetriebnahme als defekt erkannt wurde“. Sie betonen, dass man gleich drei Prüfwerkzeuge auf die Zone anwende, die auch alle angeschlagen haben – „die Meldungen wurden allerdings nicht korrekt verarbeitet.“

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE