Es war eine unruhige Nacht für Administratoren, IT-Verantwortliche und Web-Nutzer gleichermaßen. Wer gestern Abend versuchte, eine Website mit der Endung .de aufzurufen, starrte oft nur auf eine Fehlermeldung. Was sich zunächst wie ein lokales Problem anfühlte, entpuppte sich schnell als eine der schwerwiegendsten Störungen der deutschen Internet-Infrastruktur der letzten Jahre.
Was war passiert?
Noch vor Mitternacht kam es zu massiven Problemen bei der Auflösung von .de-Domains über das Domain Name System (DNS). Das DNS fungiert als das zentrale Telefonbuch des Internets: Es übersetzt menschenlesbare Adressen in numerische IP-Adressen. Da die übergeordneten Nameserver der DENIC (der zentralen Registrierungsstelle für .de) fehlerhafte Antworten lieferten oder nicht erreichbar waren, fanden Browser weltweit den Weg zu den Zielservern nicht mehr. Die Folge war ein weitreichender Totalausfall für einen Großteil des deutschen Webs.
Frühwarnung durch massenhafte SSL-Fehler
In unserem Monitoring-Zentrum leuchteten die Warnsysteme bereits auf, noch bevor die ersten offiziellen Störungsmeldungen über die Ticker liefen. Uns fiel der Ausfall unmittelbar auf, als unsere Systeme begannen, SSL-Fehler in massiver Häufung zu melden.
Hintergrund dieser Fehlermeldungen ist die Art und Weise, wie moderne Sicherheitszertifikate validiert werden. Wenn das DNS korrumpiert ist oder Anfragen ins Leere laufen, können die automatisierten Validierungsprozesse nicht mehr abgeschlossen werden. Da unsere Systeme kontinuierlich die Erreichbarkeit und Integrität von Domains prüfen, detektierten wir den Zusammenbruch der Vertrauenskette in Echtzeit, noch bevor die DNS-Server selbst als „offline“ markiert wurden.
Hintergrund und Auswirkungen
Ersten technischen Analysen zufolge lag die Ursache in der DNSSEC-Infrastruktur (Domain Name System Security Extensions). DNSSEC soll eigentlich die Echtheit von DNS-Antworten sicherstellen. Durch einen Fehler in dieser Kette wurden jedoch legitime Anfragen als unsicher eingestuft und von den Resolvern weltweit verworfen.
Die Auswirkungen waren enorm:
- E-Mail-Verkehr: Der Versand und Empfang von E-Mails an .de-Adressen war für Stunden unterbrochen.
- E-Commerce: Zahlreiche Online-Shops waren nicht erreichbar, was unmittelbar zu Umsatzausfällen führte.
- Dienste & APIs: Viele interne Unternehmensanwendungen und Schnittstellen, die auf .de-Subdomains basieren, stellten den Dienst ein.
Wir haben die Situation für unsere Kunden die gesamte Nacht über genau beobachtet. Mittlerweile hat sich die Erreichbarkeit der .de-Zone weitestgehend stabilisiert, da die korrigierten DNS-Einträge nach und nach weltweit in den Caches der Provider aktualisiert werden.
