Arboster schrieb:
Dann poste doch mal bessere Alternativen
Was soll das bringen?
Die Datenquelle aller .de Domains hat gerade eine Störung. Das heißt, sobald die Daten bei irgendeinem x-beliebigen Resolver DNS Host aus dem Cache fallen, weil sie eben zu alt sind, oder technisch gesagt, die TTL aka time to live abgelaufen ist, muss die Antwort neu von der Quelle geholt werden. Und wenn das nicht geht, gehts halt nicht.
DNS funktioniert im Kern rekursiv. Das heißt, zuerst fragt ein Resolver die Root Server die statisch hinterlegt sind, wer der zuständige Server für die .de Domain ist und dann wird dieser Server gefragt, wer für bspw. computerbase.de zuständig ist, usw. Am Ende kommt dann die Antwort, welcher Server eben dein Ziel ist.
Es ist aber bumms egal, welchen Resolver man fragt, wenn die Quelle keine richtigen Daten liefert. Da die DENIC die Quelle der .de Zonen ist, müssen die das Problem beheben. Selbst das temporäre deaktivieren von DNSSEC auf der Resolverseite ist nur die halbe Miete. Je nachdem was da genau kaputt ist. Es ist doch die selbe Datenbank unter der Decke. Wenn also die DNSSEC Keys kaputt in der Datenbank stehen, könnten andere Daten auch kaputt dort drin stehen. Und ja, kaputt ist da aktuell wohl das Stichwort, weil falsche Signaturen rausgegeben werden. Falsch im DNSSEC Umfeld ist halt doof weil genau das eben verhindert wird. Da wäre gar keine Keys sogar besser, weil dann zwar die Validierung fehl schlägt, idR aber die Antwort trotzdem verwertbar ist. So werden die Antworten im DNS verworfen, weil die Signaturen falsch sind. Wie als fände eine Manipulation der Antwort statt.
Auf der DENIC Status Seite steht aktuell "DNS Nameservice: Partial Service Disruption"
Das kann alles und nix sein.
