Et nationalt domæne kunne ikke slås op i over en time

Albaniens domæne .al brød sammen i denne måned. I over en time kunne adresser i hele landet ikke længere slås op, hverken statens portaler, medierne eller de private platforme. Borgerne kunne ikke nå de offentlige tjenester, og virksomheder, der handler under albanske domæner, forsvandt ganske enkelt fra internettet. AKEP, landets myndighed for elektronisk kommunikation og post, oplyste, at problemet lå hos systemer i udlandet, som driver en del af .al-infrastrukturen. Årsagen var et mislykket DNSSEC-nøgleskifte, det rutinemæssige kryptografiske vedligehold, der egentlig skal være usynligt.

Derfor betyder det noget. DNSSEC findes for at bevise, at et DNS-svar er ægte. Når signaturerne ikke validerer, skal en korrekt opsat resolver afvise svaret fuldstændigt og returnere en fejl. Det er standarden, der virker præcis som tiltænkt. Fejltilstanden for en sikkerhedsforanstaltning, der passer sit arbejde ordentligt, er et land, der går offline.

Løsningen var at slukke for sikkerheden

Ingen hos registret kunne nå at reparere signaturerne, så nettet gik uden om problemet på den eneste måde, det kan. Cloudflare slog midlertidigt DNSSEC-valideringen fra for .AL på sin resolver 1.1.1.1, og andre resolveroperatører gjorde det samme. Mekanismen hedder et negativt tillidsanker, og den beder resolveren behandle en signeret zone, som var den usigneret. Den findes netop til den slags hændelser. Opslagene virkede igen. Valideringen gjorde ikke.

Cloudflare havde sagt logikken ligeud under en identisk episode i maj: ingen bruger, der lige nu slår et af de navne op, ville foretrække en fejl frem for et uvalideret svar. Det er næsten helt sikkert rigtigt, og deri ligger hele problemet. Kontrollen fejler ikke lukket, og den fejler ikke højlydt. Den fejler åbent, efter branchens sædvane, i præcis det øjeblik hvor en angriber helst ville have den slukket.

Ti uger tidligere gik det samme ud over .de

Den 5. maj 2026 omkring klokken 19:30 UTC offentliggjorde DENIC ødelagte DNSSEC-signaturer for .de-zonen. Resolvere, der validerer, var nødt til at afvise dem og returnere fejl, og et af internettets største topdomæner begyndte at vælte. Fejlene steg gennem tre timer, mens cachede opslag udløb. DENIC pegede selv på årsagen: et rutinemæssigt, planlagt nøgleskifte, hvorunder der blev dannet og udsendt signaturer, som ikke kunne valideres. Resolveroperatører satte negative tillidsankre inden for en time, og 1.1.1.1 havde sin afværgning på plads klokken 22:17 UTC.

To nationale registre, ti uger fra hinanden, begge sat ud af planlagt vedligeholdelse og ikke af en angriber. Det er ikke en historie om Albanien, og det var ikke en historie om Tyskland. Det er den samme fejl, der lander to gange, og det gør den til et mønster og ikke et uheld. Den kommer en tredje gang.

Nu fortæller resolveren, hvornår den holdt op med at tjekke

Det virkelig nye kom ud af denne hændelse. Ved siden af omgåelsen indførte Cloudflare Extended DNS Error 33, en kode i selve svaret, der signalerer, at DNSSEC-valideringen blev omgået. Indtil nu så en resolver, der stille havde droppet valideringen for en zone, fuldstændig ud som en, der stadig tjekkede. I fik et svar, svaret virkede, og intet sted stod der, at den kryptografiske garanti bag det var sat ud af kraft, måske i timevis og måske for et helt topdomæne.

Hvad der ændrer sig. Den tavshed var den egentlige blottelse. Den, der fører DNSSEC i et risikoregister, et sikkerhedsspørgeskema eller et sæt NIS2-kontroller, har hidtil påstået noget, vedkommende ikke kunne iagttage. EDE 33 gør en usynlig tilstand til en logget. Det er en lille tilføjelse til en svarpakke, og det er det første ærlige signal i denne fejltilstand.

Hvad man gør ved en nøgle, man ikke selv har

Det ubehagelige er, hvor lidt af det her I selv kan rette. Jeres zone kan være signeret upåklageligt, og jeres domæne forsvinder alligevel, fordi bruddet skete et niveau højere oppe, hos det register, der driver jeres lands endelse. NIS2 behandler allerede DNS-tjenesteudbydere og topdomæneregistre som enheder med høj kritikalitet, hvilket er en anerkendelse af, at dette lag er systemisk. Det giver jer ikke et håndtag. Det, I kan gøre, er at holde op med at betragte laget som livløst: overvåg, om jeres eget domæne kan slås op fra flere offentlige resolvere og ikke kun fra kontornettet, og notér, hvad de resolvere melder tilbage.

Konklusionen. Log EDE 33, og alarmér på den. Hvis jeres resolver begynder at melde, at den har omgået valideringen for jeres topdomæne, befinder I jer i et vindue, hvor DNS-svarene for jeres domæne er uverificerede, og det bør I vide, mens det står på, i stedet for at læse om det bagefter. To lande er nu gået gennem det vindue uden at kunne se det. Det tredje får da i det mindste et lys tændt.