DNSSEC扩展集是保护DNS的重要机制，因为它能对DNS响应进行加密验证，但其运行中的错误可能导致整个顶级域范围的大规模故障。DNSSEC实现的技术复杂性往往导致域名区运营商自身面临问题。即便是行业巨头也难以幸免于此类错误。

德国国家域名.DE就发生了一起典型案例。据德国.DE域名注册机构和DOI的数据，2026年5月5日21:57（UTC），该区域运营商开始分发一个签名不正确的.DE区域文件，导致使用执行DNSSEC验证的解析器的用户在该区域进行域名解析时，返回了验证错误。不过，该问题对不同用户的影響程度并不相同，因为不进行验证的解析器和缓存机制在一定程度上缓解了故障的影响。

该事件绝非微不足道，因为诸如谷歌和CF等大型免费解析器网络均执行严格的DNSSEC验证，而德国国家域名属于最大的顶级域名之一，因此该事件产生了显著的运营影响。

根据德国.DE域名注册机构的官方声明，在计划中的密钥轮换过程中，生成了无法验证的签名并进行了分发。德国.DE域名注册机构于5月6日00:08（UTC）开始分发正确的区域内容，并于01:15（UTC）完全恢复正常状态。该注册局还表示，此次事件与计划中的密钥轮换有关，且在查明确切技术原因之前，后续的密钥轮换程序已暂时暂停。

此次修复意味着该区域已使用正确的密钥和签名集重新签名，随后更新后的 .DE 区域内容已分发至域名权威服务器。

此类事件并非孤例：DNSSEC 配置和签名流程中的错误已多次导致国家顶级域名和通用顶级域名出现故障。