DENIC DNSSEC-Störung – .de-Domains nicht erreichbar
Available in: Deutsch | English | Français | Español | Українська
DENIC DNSSEC-Störung – .de-Domains nicht erreichbar
Seit ca. 22:00 Uhr (MESZ) am 05.05.2026 besteht eine massive Störung bei der DENIC, dem deutschen Domain-Registrar. Dadurch sind alle DNSSEC-signierten .de-Domains derzeit in ihrer Erreichbarkeit betroffen.
Was ist passiert?
Betroffen sind alle DNSSEC-signierten Websites und Dienste unter der .de-Top-Level-Domain. Der Zugriff ist aktuell nur noch möglich, wenn die Domain-Auflösung noch im DNS-Cache eures Routers oder Providers gespeichert ist. Sobald dieser Cache abläuft, kommt es zu Verbindungsfehlern im Browser.
Was bedeutet das für euch?
- Eure DNSSEC-signierten
.de-Websites können für Besucher teilweise oder vollständig nicht erreichbar sein - Auch nicht-
.de-Domains können betroffen sein, wenn deren Nameserver selbst unter.delaufen. Beispiel: Die Domainexample.comnutzt als Nameserverns1.hoster.deundns2.hoster.de– wennhoster.deDNSSEC-signiert ist und nicht aufgelöst werden kann, ist auchexample.comnicht erreichbar - Dies liegt nicht an unseren Systemen, sondern an der zentralen DENIC-Infrastruktur
- Wir beobachten die Situation kontinuierlich
Was haben wir getan?
Um euch trotz der Störung ungestörtes Surfen zu ermöglichen, haben wir auf unseren Nameservern die DNSSEC-Validierung für die .de-Zone vorübergehend deaktiviert:
rec_control add-nta de.Das bedeutet: Wenn ihr unsere DNS-Server nutzt, könnt ihr .de-Domains weiterhin erreichen.
Warum ist das Deaktivieren von DNSSEC hier vertretbar?
Das Setzen eines sogenannten Negative Trust Anchor (NTA) ist ein standardisiertes Verfahren, das in RFC 7646 beschrieben wird. Ein NTA deaktiviert die DNSSEC-Validierung gezielt für eine bestimmte Zone – in diesem Fall .de – ohne die Validierung für alle anderen Domains zu beeinträchtigen.
Laut RFC 7646 sind NTAs genau für solche Situationen vorgesehen: Wenn eine DNSSEC-Störung nicht durch einen Angriff, sondern durch eine Fehlkonfiguration oder einen Ausfall auf Seiten des Zonenbetreibers verursacht wird. Die Alternative – dass Nutzer auf nicht-validierende DNS-Resolver ausweichen – wäre deutlich schädlicher für die Sicherheit, da dann sämtliche DNSSEC-Validierung verloren ginge.
Der NTA wird entfernt, sobald die Störung behoben ist und die .de-Zone wieder korrekt validiert.
Wie nutzt ihr unsere Nameserver?
Eine Anleitung zur Einrichtung unserer DNS-Server findet ihr hier:
Weitere Informationen zu unserem DNS-Angebot gibt es auf unserer DNS-Privacy-Seite.
Offizielle Stellungnahme der DENIC
05. Mai 2026, 23:28 MESZ – Frankfurt am Main – Die DENIC eG verzeichnet derzeit eine Störung ihres DNS-Dienstes für .de-Domains. Hiervon sind aktuell alle DNSSEC-signierten .de-Domains in ihrer Erreichbarkeit betroffen.
Die genaue Ursache der Störung ist noch nicht abschließend identifiziert. Die technischen Teams der DENIC arbeiten intensiv an der Analyse und an der schnellstmöglichen Wiederherstellung des stabilen Betriebs.
Nach aktuellem Kenntnisstand kann es für Nutzerinnen und Nutzer sowie Betreiber von .de-Domains zu Beeinträchtigungen bei der Domain-Auflösung kommen. Weitere Updates werden bereitgestellt, sobald belastbare Erkenntnisse zur Ursache und zur Wiederherstellung vorliegen.
Die DENIC bittet alle Betroffenen um Verständnis.
Aktueller Status
Den aktuellen Status der Störung könnt ihr bei der DENIC selbst einsehen und euch für automatische Benachrichtigungen anmelden:
Sobald die Störung auf DENIC-Seite behoben ist, werden wir die DNSSEC-Validierung wieder aktivieren.
DENIC DNSSEC Outage – .de Domains Unreachable
Since approximately 10:00 PM (CEST) on 05 May 2026, there has been a major outage at DENIC, the German domain registrar. As a result, all DNSSEC-signed .de domains are currently affected in their reachability.
What happened?
All DNSSEC-signed websites and services under the .de top-level domain are affected. Access is currently only possible if the domain resolution is still cached in your router’s or provider’s DNS cache. Once this cache expires, you will experience connection errors in your browser.
What does this mean for you?
- Your DNSSEC-signed
.dewebsites may be partially or completely unreachable for visitors - Non-
.dedomains can also be affected if their nameservers run under.de. Example: The domainexample.comusesns1.hoster.deandns2.hoster.deas nameservers – ifhoster.deis DNSSEC-signed and cannot be resolved,example.comwill also be unreachable - This is not caused by our systems but by the central DENIC infrastructure
- We are continuously monitoring the situation
What did we do?
To allow you to continue browsing despite the outage, we have temporarily disabled DNSSEC validation for the .de zone on our nameservers:
rec_control add-nta de.This means: If you use our DNS servers, you can still reach .de domains.
Why is disabling DNSSEC validation justified here?
Setting a so-called Negative Trust Anchor (NTA) is a standardised procedure described in RFC 7646. An NTA disables DNSSEC validation specifically for a single zone – in this case .de – without affecting validation for any other domains.
According to RFC 7646, NTAs are designed for exactly this kind of situation: when a DNSSEC failure is caused not by an attack, but by a misconfiguration or outage on the zone operator’s side. The alternative – users switching to non-validating DNS resolvers – would be far more harmful to security, as it would disable all DNSSEC validation entirely.
The NTA will be removed as soon as the disruption is resolved and the .de zone validates correctly again.
How to use our nameservers
You can find setup instructions for our DNS servers here:
More information about our DNS service is available on our DNS Privacy page.
Official DENIC Statement
5 May 2026, 23:28 CEST – Frankfurt am Main – DENIC eG is currently experiencing a disruption in its DNS service for .de domains. As a result, all DNSSEC-signed .de domains are currently affected in their reachability.
The root cause of the disruption has not yet been fully identified. DENIC’s technical teams are working intensively on analysis and on restoring stable operations as quickly as possible.
Based on current information, users and operators of .de domains may experience impairments in domain resolution. Further updates will be provided as soon as reliable findings on the cause and recovery are available.
DENIC asks all affected parties for their understanding.
Current Status
You can check the current status of the outage at DENIC and sign up for automatic notifications:
Once the issue on DENIC’s side is resolved, we will re-enable DNSSEC validation.
Panne DNSSEC chez DENIC – Domaines .de inaccessibles
Depuis environ 22h00 (CEST) le 05 mai 2026, une panne majeure affecte DENIC, le registraire de domaines allemand. En conséquence, tous les domaines .de signés DNSSEC sont actuellement affectés dans leur accessibilité.
Que s’est-il passé ?
Tous les sites web et services signés DNSSEC sous le domaine de premier niveau .de sont affectés. L’accès n’est actuellement possible que si la résolution du domaine est encore en cache dans votre routeur ou chez votre fournisseur d’accès. Dès que ce cache expire, des erreurs de connexion apparaîtront dans votre navigateur.
Qu’est-ce que cela signifie pour vous ?
- Vos sites web
.designés DNSSEC peuvent être partiellement ou totalement inaccessibles pour les visiteurs - Les domaines non-
.depeuvent également être affectés si leurs serveurs de noms fonctionnent sous.de. Exemple : le domaineexample.comutilisens1.hoster.deetns2.hoster.decomme serveurs de noms – sihoster.deest signé DNSSEC et ne peut pas être résolu,example.comsera également inaccessible - Ce problème n’est pas causé par nos systèmes, mais par l’infrastructure centrale de DENIC
- Nous surveillons la situation en continu
Qu’avons-nous fait ?
Pour vous permettre de continuer à naviguer malgré la panne, nous avons temporairement désactivé la validation DNSSEC pour la zone .de sur nos serveurs DNS :
rec_control add-nta de.Cela signifie que si vous utilisez nos serveurs DNS, vous pouvez toujours accéder aux domaines .de.
Pourquoi la désactivation de DNSSEC est-elle justifiée ici ?
La mise en place d’un Negative Trust Anchor (NTA) est une procédure standardisée décrite dans la RFC 7646. Un NTA désactive la validation DNSSEC de manière ciblée pour une zone spécifique – dans ce cas .de – sans affecter la validation pour les autres domaines.
Selon la RFC 7646, les NTA sont conçus exactement pour ce type de situation : lorsqu’une défaillance DNSSEC n’est pas causée par une attaque, mais par une erreur de configuration ou une panne du côté de l’opérateur de la zone. L’alternative – que les utilisateurs basculent vers des résolveurs DNS non validants – serait bien plus dangereuse pour la sécurité, car elle désactiverait toute la validation DNSSEC.
Le NTA sera supprimé dès que la perturbation sera résolue et que la zone .de sera de nouveau validée correctement.
Comment utiliser nos serveurs DNS
Vous trouverez les instructions de configuration de nos serveurs DNS ici :
Plus d’informations sur notre service DNS sont disponibles sur notre page DNS Privacy.
Communiqué officiel de DENIC
5 mai 2026, 23h28 CEST – Francfort-sur-le-Main – DENIC eG subit actuellement une perturbation de son service DNS pour les domaines .de. En conséquence, tous les domaines .de signés DNSSEC sont actuellement affectés dans leur accessibilité.
La cause exacte de la perturbation n’a pas encore été entièrement identifiée. Les équipes techniques de DENIC travaillent intensivement à l’analyse et au rétablissement du fonctionnement stable dans les plus brefs délais.
Selon les informations actuelles, les utilisateurs et opérateurs de domaines .de peuvent rencontrer des problèmes de résolution de domaine. De nouvelles mises à jour seront fournies dès que des résultats fiables sur la cause et le rétablissement seront disponibles.
DENIC demande la compréhension de toutes les parties concernées.
Statut actuel
Vous pouvez consulter le statut actuel de la panne chez DENIC et vous inscrire aux notifications automatiques :
Dès que le problème sera résolu du côté de DENIC, nous réactiverons la validation DNSSEC.
Fallo DNSSEC en DENIC – Dominios .de inaccesibles
Desde aproximadamente las 22:00 (CEST) del 05 de mayo de 2026, se produce una interrupción importante en DENIC, el registrador de dominios alemán. Como resultado, todos los dominios .de firmados con DNSSEC están actualmente afectados en su accesibilidad.
¿Qué ha pasado?
Todos los sitios web y servicios firmados con DNSSEC bajo el dominio de nivel superior .de están afectados. El acceso solo es posible actualmente si la resolución del dominio aún está almacenada en la caché DNS de tu router o proveedor. Una vez que esta caché expire, aparecerán errores de conexión en tu navegador.
¿Qué significa esto para ti?
- Tus sitios web
.defirmados con DNSSEC pueden ser parcial o totalmente inaccesibles para los visitantes - Los dominios que no son
.detambién pueden verse afectados si sus servidores de nombres funcionan bajo.de. Ejemplo: el dominioexample.comusans1.hoster.deyns2.hoster.decomo servidores de nombres – sihoster.deestá firmado con DNSSEC y no se puede resolver,example.comtampoco será accesible - Esto no es causado por nuestros sistemas, sino por la infraestructura central de DENIC
- Estamos monitorizando la situación continuamente
¿Qué hemos hecho?
Para permitiros seguir navegando a pesar de la interrupción, hemos desactivado temporalmente la validación DNSSEC para la zona .de en nuestros servidores de nombres:
rec_control add-nta de.Esto significa que si utilizáis nuestros servidores DNS, podéis seguir accediendo a los dominios .de.
¿Por qué es justificable desactivar DNSSEC aquí?
Establecer un Negative Trust Anchor (NTA) es un procedimiento estandarizado descrito en RFC 7646. Un NTA desactiva la validación DNSSEC específicamente para una zona concreta – en este caso .de – sin afectar a la validación de otros dominios.
Según RFC 7646, los NTA están diseñados exactamente para este tipo de situación: cuando un fallo DNSSEC no es causado por un ataque, sino por un error de configuración o una caída del lado del operador de la zona. La alternativa – que los usuarios cambien a resolvedores DNS sin validación – sería mucho más perjudicial para la seguridad, ya que desactivaría toda la validación DNSSEC por completo.
El NTA será eliminado en cuanto la interrupción se resuelva y la zona .de se valide correctamente de nuevo.
Cómo usar nuestros servidores DNS
Podéis encontrar las instrucciones de configuración de nuestros servidores DNS aquí:
Más información sobre nuestro servicio DNS está disponible en nuestra página de DNS Privacy.
Comunicado oficial de DENIC
5 de mayo de 2026, 23:28 CEST – Fráncfort del Meno – DENIC eG está experimentando actualmente una interrupción en su servicio DNS para dominios .de. Como resultado, todos los dominios .de firmados con DNSSEC están actualmente afectados en su accesibilidad.
La causa raíz de la interrupción aún no ha sido completamente identificada. Los equipos técnicos de DENIC están trabajando intensamente en el análisis y en restaurar las operaciones estables lo antes posible.
Según la información actual, los usuarios y operadores de dominios .de pueden experimentar problemas en la resolución de dominios. Se proporcionarán más actualizaciones tan pronto como se disponga de hallazgos fiables sobre la causa y la recuperación.
DENIC pide comprensión a todas las partes afectadas.
Estado actual
Podéis consultar el estado actual de la interrupción en DENIC e inscribiros para recibir notificaciones automáticas:
En cuanto el problema se resuelva por parte de DENIC, reactivaremos la validación DNSSEC.
Збій DNSSEC у DENIC – домени .de недоступні
Приблизно з 22:00 (CEST) 05 травня 2026 року відбувається масштабний збій у DENIC, німецькому реєстраторі доменів. Внаслідок цього всі домени .de з підписом DNSSEC наразі мають проблеми з доступністю.
Що сталося?
Постраждали всі підписані DNSSEC веб-сайти та сервіси під доменом верхнього рівня .de. Доступ наразі можливий лише якщо розв’язання домену ще збережено в DNS-кеші вашого роутера або провайдера. Щойно цей кеш закінчиться, у браузері з’являться помилки з’єднання.
Що це означає для вас?
- Ваші веб-сайти
.deз підписом DNSSEC можуть бути частково або повністю недоступні для відвідувачів - Домени, що не є
.de, також можуть бути зачеплені, якщо їхні сервери імен працюють під.de. Приклад: доменexample.comвикористовуєns1.hoster.deтаns2.hoster.deяк сервери імен – якщоhoster.deпідписаний DNSSEC і не може бути розв’язаний,example.comтакож буде недоступний - Це не спричинено нашими системами, а центральною інфраструктурою DENIC
- Ми постійно відстежуємо ситуацію
Що ми зробили?
Щоб забезпечити вам безперебійний доступ до інтернету попри збій, ми тимчасово вимкнули валідацію DNSSEC для зони .de на наших серверах імен:
rec_control add-nta de.Це означає: якщо ви використовуєте наші DNS-сервери, ви й надалі можете отримувати доступ до доменів .de.
Чому вимкнення DNSSEC тут виправдане?
Встановлення так званого Negative Trust Anchor (NTA) – це стандартизована процедура, описана в RFC 7646. NTA вимикає валідацію DNSSEC цілеспрямовано для конкретної зони – у цьому випадку .de – не впливаючи на валідацію інших доменів.
Згідно з RFC 7646, NTA призначені саме для таких ситуацій: коли збій DNSSEC спричинений не атакою, а помилкою конфігурації або збоєм на стороні оператора зони. Альтернатива – перехід користувачів на DNS-резолвери без валідації – була б значно небезпечнішою, оскільки це вимкнуло б всю валідацію DNSSEC повністю.
NTA буде видалено, щойно збій буде усунуто та зона .de знову буде коректно валідуватися.
Як використовувати наші сервери імен
Інструкції з налаштування наших DNS-серверів можна знайти тут:
Більше інформації про наш DNS-сервіс доступно на нашій сторінці DNS Privacy.
Офіційна заява DENIC
5 травня 2026, 23:28 CEST – Франкфурт-на-Майні – DENIC eG наразі зазнає збою у своєму DNS-сервісі для доменів .de. Внаслідок цього всі домени .de з підписом DNSSEC наразі мають проблеми з доступністю.
Основну причину збою ще не вдалося повністю встановити. Технічні команди DENIC інтенсивно працюють над аналізом та якнайшвидшим відновленням стабільної роботи.
За наявною інформацією, користувачі та оператори доменів .de можуть стикатися з порушеннями в розв’язанні доменів. Подальші оновлення будуть надані, щойно з’являться надійні дані про причину та відновлення.
DENIC просить усіх постраждалих про розуміння.
Поточний статус
Ви можете перевірити поточний стан збою на сайті DENIC та підписатися на автоматичні сповіщення:
Щойно проблему з боку DENIC буде вирішено, ми знову увімкнемо валідацію DNSSEC.
