DNS-OARC1d ago

What happens when root-servers.net is bitflipped? Peter Thomassen from #deSEC brings a deep technical look at resilience, edge cases, and unexpected DNS behavior to #OARC46.

“Bitflipping root-servers.net” Sunday, 17 May 2026 09:55 BST (Edinburgh) / 08:55 UTC

Join the DNS operations community at @dnsoarc OARC 46.

#LoveDNS ^RP

freund1d ago

Another thing I did this week: Finally got DNSSEC set up on my domains thanks to deSEC.io.

I previously used @hetzner for my DNS, but as much as I like their vserver hosting, their DNS service sadly still doesn't support DNSSEC (after starting work on it in 2017, then pausing it in 2018).

#deSEC #dnssec #dns4EU #hetzner

Show threadteufel100😈May 9
@chaosrind naja, für die eine Domain läuft ja gerade über Plesk der eigene Nameserver, da ist das simpel.  Mit der Domain wollte ich genau deswegen zu #deSEC, aber daran hindert mich der doofe DS-Eintrag. Also, es lief jetzt eine Woche darüber und es lief echt super, aber naja, es bringt ja leider nichts, wenn ich die Vertrauenskette nicht herstellen kann.
Show threadteufel100😈May 9
@chaosrind naja, da ich es bei Strato derzeit nicht haben kann, baue ich gerade wieder alles zurück, weil bei #deSEC steht, dass die irgendwann die DNS-Zone löschen, wenn die "which fail to establish a DNSSEC chain of trust" nicht hergestellt werden kann. Da ich den DS-Eintrag nicht setzen kann, ist das unmöglich. Aber du könntest ja mit einer Domain zu #deSEC gehen, bei dir wäre es ja möglich.
Show threadteufel100😈May 9
@chaosrind Plan B wäre, dass ich #deSEC anbettel, dort mehr als eine Domain verwalten zu dürfen ;) - halt leider, ohne DNSSEC nutzen zu können.
teufel100😈May 9

So ein wenig nervt mich #Strato ja inzwischen doch. Ich meine, DNSSEC unterstützen die nur, wenn ein weiteres Paket gebucht wird, aber auch einen DS-Eintrag kann ich nicht machen, wenn ich zum Beispiel #deSEC für die DNS-Einstellungen nutze.

Abgesehen davon, kann ich auch keine Wildcard-A und Wildcard-AAA-Einträge setzen, sodass ich Subdomains einfach nur auf dem Server definiere, ohne diese bei Strato selbst einrichten zu müssen. Funktionieren tut es aber, wenn die Domain direkt im eigentlichen Serverpaket hinzugebucht werden, dann ist der Eintrag automatisch gesetzt.

So langsam überlege ich ja echt, ob ich meine Domains nicht doch woanders hin umziehe ...

پویان Pouyan May 6

I looked at DNSViz data to figure out what happened yesterday with the de TLD:

https://blog.pouyan.net/en/post/2026/2026-05-06-denic-dnssec-failure/

tl;dr

A faulty key rollover at DENIC caused all DNS resolutions for the de TLD to fail for everyone using DNSSEC-enabled resolvers.

#dns #dnssec #desec #pki

DNSSEC failure in the German DNS namespace: A retrospective analysis.

A faulty key rollover at DENIC brought down DNS resolution for the whole de TLD. I looked at publicly available data to figure out what happened.

Quaintous
jan-erikMay 5
Und jetzt: abschalten bitte. #desec #denic
טוביאס פלדמן / Tobias FeldmannApr 28

Das Zusammenspiel zwischen #deSEC und #Stalwart tut noch nicht wirklich gut.

Möchte ich meine DNS Einträge automatisch anlegen und pflegen lassen, funktioniert das nicht bei mehrfachen Einträgen mit gleichem subname und nicht dann, wenn der subname leer bzw. @ ist.

Mal gucken, ob bei Stalwart wer an der API basteln kann

Show threadטוביאס פלדמן / Tobias FeldmannApr 28
Immerhin klappt seit heute Morgen die #dnssec Aktivierung mit #deSEC :)