News .de-Domains nicht erreichbar: Probleme bei der DENIC legen deutsche Internetseiten lahm

[allhere]

@User38 Echt?? Das ist ja schon fast wie einen eigenen Bunker im Garten haben. 😅

 

[liox]

ich habe 30min mit chatGPT verbracht bis ich dahinter gekommen bin.

"Dein Workaround mit nicht DNSSEC-validierendem Upstream ist also genau richtig für den Moment. Sobald DENIC das fixt, kannst du wieder auf Cloudflare/Freifunk/Quad9 mit DNSSEC zurückstellen."

 

[Zer0DEV]

@Jan Als Randnotiz: Cloudflare hat vermeintlich einen Fix implementiert...

Quelle: https://www.cloudflarestatus.com/incidents/vjrk8c8w37lz

Ich würde aber meinen, dass das nur für .de-Domains gilt die auch Cloudflare in Anspruch nehmen

 

[TnTDynamite]

Amazon.de

Wollte am Smartphone Arsenal vs Atletico schauen, ging nicht. In der TV App ging es. Bis ich eben nochmal Nachrichten lesen wollte hab ich nicht kapiert was los ist.

 

[Salamimander]

@Jan Als Randnotiz: Cloudflare hat vermeintlich einen Fix implementiert...
Anhang anzeigen 1726995
Quelle: https://www.cloudflarestatus.com/incidents/vjrk8c8w37lz

Ich würde aber meinen, dass das nur für .de-Domains gilt die auch Cloudflare in Anspruch nehmen

Die haben DNSSEC deaktiviert, wetten? 😁

 

[Jan]

Artikel-Update: Jetzt hat die DENIC eine Stellungnahme veröffentlicht. Darin wird zunächst die Störung des DNS Service für .de-Domains bestätigt. Alle über die Domain Name System Security Extensions (DNSSEC) signierten .de-Domains seien daher betroffen.

[Bilder: Zum Betrachten bitte den Artikel aufrufen.]​

Die Ursache für die DNSSEC-Störung sei aber noch nicht vollständig ergründet. Techniker sollen intensiv an der Wiederherstellung der Dienste arbeiten.

Derweil gab es auf Reddit einen unbestätigten Hinweis, dass „ein fehlgeschlagener DNSSEC ZSK-Rollover“ die Probleme verursacht haben könnte.

 

[allhere]

ich habe 30min mit chatGPT verbracht bis ich dahinter gekommen bin.

Ich habe Kopfkino

 

[Benelator]

Bei mir geht wieder alles

 

[allhere]

Derweil gab es auf Reddit einen unbestätigten Hinweis, dass „ein fehlgeschlagener DNSSEC ZSK-Rollover“ die Probleme verursacht haben könnte.

Kann jemand erklären was genau das ist, bzw. was da passiert?

 

[Zer0DEV]

@Salamimander Cloudflare sind doch die besten der Besten, Sir!!!111!!11!
Ohne deren DDOS-Protection würde das Internet doch schon lange brach liegen.
/sarkasmus off

@allhere Erläuterung: https://doku.lrz.de/dnskeys-und-key-rollover-best-practices-11491332.html

 

[Whistl0r]

Alle über die Domain Name System Security Extensions (DNSSEC) signierten .de-Domains seien daher betroffen.

Nein! Diese Aussage der DENIC ist fehlerhaft. Es sind alle DE-Domains betroffen, denn die TLD "de" selbst wird bereits fehlerhaft signiert. D.h. alle DNS-Resolver die DNSSEC prüfen, steigen bereits beim Validieren von "de" selbst aus.

Es ist also völlig unerheblich ob man für example.de nun DNSSEC aktiviert hat oder nicht.

 

[interesTED]

Grade 30 Minuten mit Claude an meiner Verbindung Zuhause gearbeitet (er hat meine FritzBox beschuldigt!) und nicht rausgefunden, was nicht stimmt (Handy Zugriff über 5G ging noch)... Haha...

 

[Salamimander]

Nein! Diese Aussage der DENIC ist fehlerhaft. Es sind alle DE-Domains betroffen, denn die TLD "de" selbst wird bereits fehlerhaft signiert. D.h. alle DNS-Resolver die DNSSEC prüfen, steigen bereits beim Validieren von "de" selbst aus.

Es ist also völlig unerheblich ob man für example.de nun DNSSEC aktiviert hat oder nicht.

Die wissen das schon besser. Seit dem ich DNSSEC deaktiviert habe, geht auch Status.denic.de wieder. Zufall? Sicher nicht …

 

[allhere]

NordVPN funktioniert weiterhin nicht.

 

[rex2]

Die wissen das schon besser. Seit dem ich DNSSEC deaktiviert habe, geht auch Status.denic.de wieder. Zufall? Sicher nicht …

Man merkt, dass Du vom Thema nicht die Ahnung hast, und einiges durcheinander mischt.. Whistl0r hat da komplett reicht mit seiner Aussage.

 

[MisC]

Die wissen das schon besser. Seit dem ich DNSSEC deaktiviert habe, geht auch Status.denic.de wieder. Zufall? Sicher nicht …

Nein wissen sie leider nicht was ich auch grade echt traurig finde.

Solange der Resolver eine DNSSEC-Validierung durchführt, schlägt die aktuell für alle .de Domains fehlt. Egal ob die Domain selbst DNSSEC aktiv hat oder nicht. Sieht man ja sehr gut an computerbase.de die hat nämlich gar kein DNSSEC.

Der Grund liegt daran, dass bei der DNSSEC-Validierung auch bei Domains ohne DNSSEC validiert wird ob die auch wirklich kein DNSSEC haben und auch die dafür zuständigen Signaturen in der .de Zone sind falsch.

 

[Whistl0r]

Nein, tun sie nicht. Der Fehler wird auch später korrigiert werden. Es ist nur unglücklich, dass das aktuell da so steht und jetzt von jeder Redaktion übernommen wird.

Das suggeriert eben, der Domain-Besitzer könnte selber tätig werden, indem er DNSSEC für seine Domain deaktiviert. Aber genau das hilft eben nicht weil die DE-Zone selbst im Resolver schon scheitert.

 

[Salamimander]

@Whistl0r In der domain nicht, im resolver aber schon. Das ist der Unterschied. Wenn mein resolver DNSSEC ignoriert, bin ich nicht mehr betroffen. Teste es selbst, Wechsel auf 9.9.9.10 und fertig.

Ergänzung (Heute um 00:01)

Man merkt, dass Du vom Thema nicht die Ahnung hast, und einiges durcheinander mischt.. Whistl0r hat da komplett reicht mit seiner Aussage.

Aha, was werde ich denn durcheinander? Na?

 

[incurable]

@Jan Als Randnotiz: Cloudflare hat vermeintlich einen Fix implementiert...

Nicht hat, ist dabei. (wenn man dem aktuellen Stand der Statusseite Glauben schenken darf)

 

[TI.]

Oder eben auch nicht xD


Wo wir gerade dabei sind...
Was sind gute DNS Empfehlungen?
Nutze gerade CloudFlare... Aber das hat ja auch Nachteile.
Glaubs auch Quad9 hatte 2-3 Negativpunkte...

Was wird denn so empfohlen?

Freifunk München & Digitalcourage stehen bei mir drin.