En nationell domän gick inte att slå upp på över en timme
Albaniens domän .al gick sönder den här månaden. I över en timme gick adresser i hela landet inte längre att slå upp, varken statens portaler, medierna eller de privata plattformarna. Medborgarna nådde inte de offentliga tjänsterna, och företag som handlar under albanska domäner försvann helt enkelt från internet. AKEP, landets myndighet för elektronisk kommunikation och post, uppgav att problemet låg hos system utomlands som driver en del av .al-infrastrukturen. Orsaken var ett misslyckat DNSSEC-nyckelbyte, det rutinmässiga kryptografiska underhåll som är tänkt att förbli osynligt.
Därför spelar det roll. DNSSEC finns för att bevisa att ett DNS-svar är äkta. När signaturerna inte validerar måste en korrekt inställd resolver avvisa svaret helt och returnera ett fel. Det är standarden som fungerar precis som den är konstruerad. Felläget hos en säkerhetsåtgärd som sköter sitt jobb ordentligt är ett land som går offline.
Lösningen var att stänga av säkerheten
Ingen på registret hann laga signaturerna, så nätet gick runt problemet på det enda sätt det kan. Cloudflare stängde tillfälligt av DNSSEC-valideringen för .AL på sin resolver 1.1.1.1, och andra resolveroperatörer gjorde detsamma. Mekanismen heter negativt förtroendeankare och säger åt en resolver att behandla en signerad zon som om den vore osignerad. Den finns just för sådana här händelser. Uppslagningen fungerade igen. Valideringen gjorde det inte.
Cloudflare hade skrivit ut logiken rakt av vid en identisk episod i maj: ingen användare som just nu slår upp ett sådant namn skulle föredra ett felmeddelande framför ett ovaliderat svar. Det stämmer nästan säkert, och där ligger hela problemet. Åtgärden fallerar inte stängt och den fallerar inte högljutt. Den fallerar öppet, enligt branschens sedvana, i precis det ögonblick då en angripare helst vill ha den avstängd.
Tio veckor tidigare drabbades .de av samma sak
Den 5 maj 2026, vid ungefär 19:30 UTC, publicerade DENIC trasiga DNSSEC-signaturer för .de-zonen. Resolvrar som validerar var tvungna att avvisa dem och returnera fel, och en av internets största toppdomäner började falla. Felen steg under tre timmar medan cachade poster gick ut. DENIC pekade själv ut orsaken: ett rutinmässigt, planerat nyckelbyte under vilket signaturer som inte gick att validera skapades och spreds. Resolveroperatörer satte negativa förtroendeankare inom en timme, och 1.1.1.1 hade sin motåtgärd på plats klockan 22:17 UTC.
Två nationella register, med tio veckors mellanrum, båda utslagna av planerat underhåll och inte av en angripare. Det här är ingen historia om Albanien, och det var ingen historia om Tyskland. Det är samma fel som landar två gånger, och det gör det till ett mönster och inte till en olycka. Det kommer att landa en tredje gång.
Nu talar resolvern om när den slutade kontrollera
Det verkligt nya kom ur den här händelsen. Vid sidan av kringgåendet införde Cloudflare Extended DNS Error 33, en kod i själva svaret som signalerar att DNSSEC-valideringen förbigicks. Fram till nu såg en resolver som tyst hade släppt valideringen för en zon likadan ut som en som fortfarande kontrollerade. Ni fick ett svar, svaret fungerade, och ingenstans stod det att den kryptografiska garantin bakom det var upphävd, kanske i timmar och kanske för en hel toppdomän.
Vad som ändras. Den tystnaden var den verkliga exponeringen. Den som för upp DNSSEC i ett riskregister, ett säkerhetsformulär eller en uppsättning NIS2-åtgärder har hittills hävdat något som inte gick att iaktta. EDE 33 gör ett osynligt tillstånd till ett loggat. Det är ett litet tillägg i ett svarspaket och den första ärliga signalen i det här felläget.
Vad man gör åt en nyckel man inte har
Det obekväma är hur lite av det här som är ert att laga. Er zon kan vara felfritt signerad och er domän försvinner ändå, eftersom brottet skedde ett steg upp, hos registret som driver ert lands ändelse. NIS2 behandlar redan leverantörer av DNS-tjänster och register för toppdomäner som verksamheter med hög kritikalitet, vilket är ett erkännande av att det här lagret är systemiskt. Det ger er ingen hävstång. Det ni kan göra är att sluta betrakta lagret som orörligt: bevaka om er egen domän går att slå upp från flera publika resolvrar och inte bara från kontorsnätet, och notera vad de svarar.
Slutsatsen. Logga EDE 33 och larma på den. Om er resolver börjar rapportera att den förbigått valideringen för er toppdomän befinner ni er i ett fönster där DNS-svaren för er domän är overifierade, och det bör ni veta medan det pågår i stället för att läsa om det efteråt. Två länder har nu gått genom det fönstret utan att kunna se det. Det tredje får åtminstone en lampa tänd.
Läs vidare: Ditt molnberoende är nu en reglerad risk. De flesta företag kan inte ens se sitt eget. | En 18 år gammal Cisco-lucka har nu 3 dagars frist



