Набор расширений DNSSEC является важным механизмом защиты DNS, поскольку обеспечивает криптографическую проверку подлинности DNS-ответов, однако ошибки при его эксплуатации могут приводить к масштабным сбоям на уровне целой зоны верхнего уровня. Техническая сложность реализации DNSSEC нередко приводит к тому, что с проблемами сталкиваются сами операторы доменных зон. Причем от ошибок не застрахованы даже самые крупные игроки.
Показательный пример произошел с национальным доменом Германии .DE. По данным DENIC и Domain Incite, 5 мая 2026 года в 21:57 UTC оператор зоны начал распространять некорректно подписанную версию зоны .DE, из-за чего у пользователей, чьи резолверы выполняли DNSSEC-валидацию, разрешение имен в этой зоне стало возвращать ошибку валидации. При этом проблема затронула не всех пользователей одинаково, поскольку невалидирующие резолверы и кэширующие механизмы могли частично сглаживать эффект сбоя.
Инцидент никак не назовешь незначительным, поскольку строгую проверку DNSSEC осуществляют, например, крупные бесплатные сети резолверов Google и Cloudflare, а национальный домен Германии относится к числу крупнейших доменов верхнего уровня, поэтому инцидент имел заметный операционный эффект.
Из официального сообщения DENIC известно следующее: в ходе плановой ротации ключей были сгенерированы и распространены не валидируемые подписи. Корректное содержимое зоны DENIC начал распространять в 00:08 UTC 6 мая, а полное восстановление штатного состояния произошло к 01:15 UTC. Регистратура также сообщила, что инцидент был связан с плановой ротацией ключей и что дальнейшие процедуры ротации ключей временно приостановлены до завершения анализа точных технических причин.
Такое исправление означает, что зона была заново подписана корректным набором ключей и подписей, после чего обновленное содержимое зоны .DE было распространено на авторитетных серверах доменных имен.
Подобные инциденты не уникальны: ошибки в DNSSEC-конфигурации и процедурах подписания уже неоднократно приводили к сбоям как в национальных, так и в общих доменах верхнего уровня.