🗓️ Contexte
Article publié le 6 mai 2026 par Cloudflare (blog.cloudflare.com), rédigé par Sebastiaan Neuteboom, Christian Elmerot et Max Worsley. Il s’agit d’un post-mortem technique détaillant la réponse de Cloudflare à une panne majeure du TLD .de causée par une misconfiguration DNSSEC chez l’opérateur de registre DENIC.
⚠️ Incident
Le 5 mai 2026 à 19h30 UTC, DENIC a commencé à publier des signatures DNSSEC incorrectes pour la zone .de. Tout résolveur DNS validant recevant ces signatures était contraint, conformément à la spécification DNSSEC, de rejeter les réponses et de retourner SERVFAIL aux clients. Le résolveur public 1.1.1.1 de Cloudflare a été immédiatement affecté.
La cause identifiée est une rotation de clé de signature (ZSK/KSK) planifiée et routinière, durant laquelle des signatures non validables ont été générées et distribuées. DENIC a confirmé dans un billet de blog que les rotations futures sont suspendues jusqu’à identification des causes techniques exactes.
📊 Impact
- Montée progressive des SERVFAIL sur les requêtes
.dependant les 3 heures suivant l’incident, au fur et à mesure de l’expiration des caches. - Augmentation du volume de requêtes due aux retries clients.
- Le TLD
.deest l’un des plus interrogés mondialement, exposant potentiellement des millions de domaines à l’inaccessibilité. - Les domaines
.dehébergés sur la plateforme CDN Cloudflare (résolution d’origine) ont également été affectés.
🛡️ Mitigations appliquées par Cloudflare
- Serve stale (RFC 8767) : 1.1.1.1 a continué à servir les enregistrements expirés en cache, maintenant un taux de NOERROR stable pendant la durée de l’incident pour les domaines déjà cachés.
- Negative Trust Anchor (NTA, RFC 7646) : À 22h17 UTC, Cloudflare a déployé une règle de substitution sur son résolveur interne “Big Pineapple” marquant
.decomme zone non sécurisée, équivalent fonctionnel d’un NTA. Cette mesure a mis fin à l’impact pour 1.1.1.1. - Un NTA similaire a été appliqué sur le résolveur interne dédié à la résolution d’origine pour les clients CDN.
- La coordination a été effectuée via le Mattermost DNS-OARC.
🐛 Bug identifié
Un bug dans la propagation des codes Extended DNS Error (EDE, RFC 8914) a été découvert : 1.1.1.1 retournait EDE 22 (No Reachable Authority) au lieu de EDE 6 (DNSSEC Bogus), masquant la cause réelle de l’échec. Un correctif est prévu.
📌 Type d’article
Post-mortem technique publié par Cloudflare, visant à documenter la chronologie de l’incident, les mécanismes DNSSEC impliqués, les mitigations déployées et les axes d’amélioration identifiés.
🟡 Indice de vérification factuelle : 45/100 (moyenne)
- ✅ blog.cloudflare.com — source reconnue (Rösti community) (20pts)
- ✅ 15103 chars — texte complet (fulltext extrait) (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ⬜ aucune TTP identifiée (0pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://blog.cloudflare.com/de-tld-outage-dnssec/