Volledige .de-domein was vier uur offline vanwege Dnssec-probleem bij beheerder

Het volledige .de-domein is in de nacht van dinsdag op woensdag bijna vier uur onbereikbaar geweest. Geen enkele .de-website was te bezoeken omdat .de-beheerder Denic een probleem had met Dnssec.

De problemen ontstonden rond 21.50 uur op dinsdagavond. Toen meldden gebruikers voor het eerst op grote schaal dat Duitse domeinen niet meer te bereiken waren. Beheerder Denic eG schreef een korte blogpost met de melding van een probleem, maar geeft daar nog geen gedetailleerde oorzaak van. Denic is de beheerder van het .de-domein, vergelijkbaar met het Nederlandse SIDN of het Belgische DNS Belgium.

De storing lag volgens Denic bij 'een verstoring in zijn DNS-diensten voor .de-domeinen. "Als gevolg zijn alle .de-domeinen die met Dnssec zijn getekend, getroffen in hun bereikbaarheid."

Vanwege die Dnssec-problemen zette onder andere Cloudflare DNS-validatie uit op .de-domeinen, zodat de alternatieve 1.1.1.1-resolver wel werkte met Duitse websites.

De storing was rond 2.00 uur 's nachts weer verholpen, al hadden sommige websites daarna alsnog last van de slechte bereikbaarheid. Wat er precies misging, is nog steeds niet bekend; Denic zegt nog aan een analyse te werken. De storing is opvallend groot; dat een volledig topleveldomein niet bereikbaar is, komt zelden voor. Denic had al aangekondigd onderhoud te gaan plegen in de liveomgeving.

Update, 07.59 uur – In het artikel stond aanvankelijk dat de storing van zondag op maandag plaatsvond, maar dat was van dinsdag op woensdag.

Kabel netwerk internetproviders stock (bron: nd3000/Getty Images)

Vorig nieuwsartikel Volgend nieuwsartikel

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 06-05-2026 07:32
77 • submitter: sjoerddebruin

06-05-2026 • 07:32

Submitter: sjoerddebruin

Lees meer

Archiefsite Archive.today werkt door blokkade voor sommige gebruikers niet meer

Archiefsite Archive.today werkt door blokkade voor sommige gebruikers niet meer Nieuws van 24 maart 2026

NLconnect schrapt ruim helft geblokkeerde 'Russische' domeinen van lijst

NLconnect schrapt ruim helft geblokkeerde 'Russische' domeinen van lijst Nieuws van 3 februari 2026

Cloudflare: Perplexity AI-bots bezoeken stiekem websites zonder toestemming

Cloudflare: Perplexity AI-bots bezoeken stiekem websites zonder toestemming Nieuws van 5 augustus 2025

Google stopt met gebruik google.nl en google.be

Google stopt met gebruik google.nl en google.be Nieuws van 16 april 2025

Meer producten en artikelen

Internettoegang Duitsland

IT-banen

Meer vacatures

Reacties (77)

77

77

38

3

0

32

Wijzig sortering

Goldwing1973 6 mei 2026 07:53

.DE is toch een TLD? En niet een “domein”?

MischaBoender @Goldwing1973 • 6 mei 2026 08:48

"de" is een domein, "germany.de" is een domein, "berlin.germany.de" is een domein... Technisch is het mogelijk om een A record aan een top-level domein te hangen (zie bijvoorbeeld het .ws domein), maar dit wordt streng afgeraden en waarschijnlijk zal dit ook niet universeel werken op endpoints. Voor gTLD domeinen (zoals .berlin) mag dit contractueel niet (ICANN policy).

Martink @MischaBoender • 6 mei 2026 11:53

Geloof dat Google dat een tijdje heeft gedaan met hun .google TLD. Maar dit gaf problemen. Weet niet meer precies wat

Habbie @Martink • 6 mei 2026 13:02

Dat hebben ze als het goed is niet gedaan, want in new gTLDs is dat verboden door ICANN

storeman @Goldwing1973 • 6 mei 2026 07:56

Waar staat de D voor in TLD?

Goldwing1973 @storeman • 6 mei 2026 08:43

Sorry, eerste koffie nog niet op…

Heroic_Nonsense

@storeman • 6 mei 2026 09:00

In dit geval?

"Tschüss, Leider Defekt"

NMe @storeman • 6 mei 2026 09:57

Waarom noemt het artikel de T en L niet? Daar valt toch echt een stuk informatie weg door de keuze van de redactie om geen Engelse termen te willen gebruiken.

Plymp @Goldwing1973 • 6 mei 2026 07:57

Top-level domain. Hoogste niveau, maar nog steeds een domein.

bergsegek @Plymp • 6 mei 2026 10:32

niet het hoogste niveau maar wel het 2de niveau.

het begint bij "." waar alle TLD's registreren.

beerse @bergsegek • 6 mei 2026 13:34

De punt in een domein-naam is voor het onderscheid in niveau. In theorie kan je het mail adres koffie@de krijgen. Al denk ik dat DouweEgberts het niet voor elkaar kan krijgen om het mx-record in de "de" tld te krijgen.

Wel kan je dat heel goed zelf in je eigen netwerk opzetten. Tegenwoordig is de tld "local" (en mogelijk ook "lokaal") thuis vrij te gebruiken. Stel dat in op je eigen dns-server en speel er mee rond. Als de software netjes wil meewerken kan je alle internet-zaken zo zelf thuis uitproberen.

En er is mogelijk een uitdaging in dat je de default-dns-suffix voor moet zijn. In principe is de domeinnaam namelijk een toevoeging aan de machine-naam om aan te geven in welk domein ze geregistreerd is. En omdat de domeinnaam er voornamelijk is om de machine naam aan te geven. Dus de meeste software verwacht wel degelijk een punt in de dns-naam. Maar dat is vooral voor het onderscheid tussen de hostname en de domainname.

Sandro! @beerse • 6 mei 2026 22:16

.local is voor mDNS (RFC 6762), dat kun je prima buiten mDNS om gebruiken maar je kunt dan wel problemen op je netwerk krijgen.

bergsegek @beerse • 6 mei 2026 22:45

ik bedoel de root " ." niet de domein.nl punt alle top level domeinen moeten ergens beginnen om het internet te navigeren.
Wikipedia: Root name server

vanuit deze root kunnen alle tld adressen worden opgezocht en hieronder komen de domein namen die hieraan vast zitten. een soort boom van vertrouwen.

Dit is mij althans geleerd op mijn Systeembeheer schooling mbo/hbo

beerse @bergsegek • 7 mei 2026 09:37

Vanuit mijn kennis/ervaring is de punt die je achter de tld kan en mag zetten de indicatie dat hier geen dns-suffix-search-list gebruikt hoeft/kan/mag worden, dat de naam volledig is. Toegegeven, dat is een andere manier om naar die finale punt te kijken.

Met jouw manier van kijken is er een vergelijking met het unix (linux) filesysteem: het begint allemaal bij de root (de wortel) en daar bouwen we op.

ouweklimgeit @Goldwing1973 • 6 mei 2026 07:57

en waar staat TLD voor?

WaterFire @ouweklimgeit • 6 mei 2026 08:42

Top Level Domain.
Wikipedia: List of Internet top-level domains

Lagonas @Goldwing1973 • 6 mei 2026 07:57

Je bedoelt de TLD van Top Level Domain?

[Reactie gewijzigd door Lagonas op 6 mei 2026 08:00]

mOrPhie @Goldwing1973 • 6 mei 2026 10:09

Technisch gezien is het een domein, maar technisch gezien schrijf je het als "de." en niet ".de", dus imho moet Tweakers ook gewoon tld schrijven zoals de rest van de wereld. Semantisch wordt het nu ook lastig te zoeken op al het nieuws over tld's.

bergsegek @Goldwing1973 • 6 mei 2026 10:31

Klopt .de is een top level domain beheerd door de vertrouwde instanties welke blijkbaar Denic heet.
Bij deze organisatie registreer jij je domein zoals wij hem kennen onzin.de en richt je waar de DNS server te vinden is voor dit domein.

Op deze DNS server kun je aankloten wat je wil met je domein naam maar vertrouw je er wel op dat het TLD zijn zaakjes op orde heeft.

een dns verzoek gaar namelijk eerst kijken bij "." waar het TLD ".de" te vinden is en welke verwijst waar "onzin" te vinden is. en vraag aan het DNS van onzin waar bijvoorbeeld het A record of MX etc etc etc te vinden is.

"een volledig domein naam zou dan onzin.de. zijn"

het is dus een keten van vertrouwen

MischaBoender 6 mei 2026 08:06

Vanwege die Dnssec-problemen zette onder andere Cloudflare DNS-validatie uit op .de-domeinen, zodat de alternatieve 1.1.1.1-resolver wel werkte met Duitse websites.

Ik weet eerlijk gezegd niet of dit zo handig is, ivm de veiligheid.

kuurtjes @MischaBoender • 6 mei 2026 11:39

Dit volgt de officiele richtlijnen van RFC 7646:

DNS Security Extensions (DNSSEC) is now entering widespread deployment. However, domain signing tools and processes are not yet as mature and reliable as those for non-DNSSEC-related domain administration tools and processes. This document defines Negative Trust Anchors (NTAs), which can be used to mitigate DNSSEC validation failures by disabling DNSSEC validation at specified domains.

MischaBoender @kuurtjes • 6 mei 2026 22:14

Ik kan jouw reactie, als reactie op mijn eigen reactie, niet modereren, maar wilde toch even zeggen dat dit een goede toevoeging is. 👌🏻

Deze RFC laat inderdaad ruimte om DNSSEC validatie tijdelijk uit te zetten als het duidelijk is dat de problemen worden veroorzaakt door misconfiguratie en niet door een "malicious actor".

djmuggs @MischaBoender • 6 mei 2026 08:40

Nee, is niet handig.

Maar als je jezelf serieus neemt als organisatie of bedrijf, dan gebruik je je eigen resolvers en niet die van cloudflare.

Voor huis, tuin en keuken gebruiker was er mogelijk een probleem met .de domeinen Kwa veiligheid.

pe0mot @djmuggs • 6 mei 2026 09:01

Eigen DNS zal ook niet werken als toplevel een fout heeft. Elke eigen resolver zal vanuit de bovenkant van de boom (root) weer bij Denic uitkomen.

MischaBoender @pe0mot • 6 mei 2026 09:39

Als er DNSSEC problemen zijn dan is het de bedoeling dat resolving niet werkt. Een eigen resolver zou niet moeten resolven als DNSSEC niet gevalideerd kan worden. Cloudflare heeft op hun resolver dus de DNSSEC validatie uit gezet, waardoor je mogelijk "verkeerde" IP adressen terug kreeg.

@MischaBoender • 6 mei 2026 10:53

Of bijn alle duitse websites volledig onbereikbaar voor de normale mens of een tijdelijke manier die een safety check overslaat. Die keus is snel gemaakt. Als ze maar niet vergeten het nu weer aan te zetten....

baseoa @YGDRASSIL • 6 mei 2026 13:03

Dus als je ooit een exploit weet waarvoor het nodig is dat dnssec even uit staat... de keus is schijnbaar snel gemaakt als je het eruit weet te leggen door bijvoorbeeld grote dnssec records op te vragen in een DDoS!

@baseoa • 6 mei 2026 16:08

Het komt zelden voor dat een TLD er volledig uitligt voor DNSSEC. Dus dat lukt blijkbaar niet zo makkelijk. Maar inderdaad, als je de hele TLD eruit kan mikken en dan een hack klaar hebt die het alleen kan zonder dnssec dan heb je meer kans van slagen.

FrostyPeet 6 mei 2026 07:51

Toch beetje eng dat een heel TLD offline kan gaan voor nieuwe resolves. Terwijl "internet" toch werd verkocht als "nuke proof" eind vorige eeuw. Gelukkig was er een alternatief.

@FrostyPeet • 6 mei 2026 08:44

Het TLD was niet offline. Neem aan dat je op IP nummer gewoon alle sites kon bezoeken? De dns lookups werkten niet.

@YGDRASSIL • 6 mei 2026 10:02

Dat werkt ook niet altijd als IP-adressen niet zijn gebind aan domeinnamen. Kijk eens naar shared hostings. Een snelle oplossing (of kan dat nog sneller) is om je host-file aan te passen, en de hostname mee te geven in de header.

[Reactie gewijzigd door AW_Bos op 6 mei 2026 10:03]

baseoa @AW_Bos • 6 mei 2026 12:58

Dat is een ander protocol. DNS kan eruit liggen en je kunt nog steeds in de Host header aangeven welke site je wilt hebben van het IP-adres waar je tegen babbelt

Heroic_Nonsense

@FrostyPeet • 6 mei 2026 08:50

Het internet wel, het web niet.

Op IP-adres waren de sites immers nog gewoon bereikbaar

Alex3 @Heroic_Nonsense • 6 mei 2026 10:30

Ook andere diensten gebruiken dns, b.v. e-mail.

MPAnnihilator @Heroic_Nonsense • 6 mei 2026 12:48

zelden nog aanvaarden webservers een IP nog als geldige host header...

baseoa @MPAnnihilator • 6 mei 2026 13:00

Toch moet je verbinden met een IP-adres. Dat je dan aan de server moet zeggen welke site je graag had staat volledig los van, en werkt zonder tussenkomst van, DNS

MPAnnihilator @baseoa • 6 mei 2026 17:37

Je kan wel verbinden met een IP adres, als de achterliggende webserver niet ingesteld is om te antwoorden op het IP adres, dan ga je als client niets te zien krijgen. Het is de admin van de webserver, of de application firewall ervoor, die bepalen op welke host headers een webserver uiteindelijk gaat reageren. 't Is niet omdat je op een IP uitkomt ( ofwel door dns vertaling, of doordat je zelf het IP kent ) dat je per definitie iets te zien krijgt... zo werkt het niet. edit : typo's

[Reactie gewijzigd door MPAnnihilator op 6 mei 2026 17:39]

baseoa @MPAnnihilator • 9 mei 2026 13:09

Wederom, toch verbindt je onder water met een IP-adres (dat je van DNS krijgt, en ook zelf lokaal kan opslaan voor als DNS eruit ligt) en komt al het andere daar bovenop. Probeer het zonodig uit. Met TLS SNI en Host headers morrelen is deel van mijn werk als pentester en hobby als sysadmin, ik weet hoe een WAF en webserver werkt

[Reactie gewijzigd door baseoa op 9 mei 2026 13:10]

MPAnnihilator @baseoa • 9 mei 2026 16:23

Tweakers is een mooi voorbeeld. Nslookup geeft ( bij mij ) deze IPv4 IP's 2.16.6.12 & 2.16.6.33 in theorie moet jij dezelfde vertaling krijgen. Surf nu maar eens naar https://2.16.6.12 of https://2.16.6.33 Dat doet helemaal niets, omdat de webserver of alles wat ervoor staat, een simpel IP niet in zijn lijst van acceptabele host headers heeft staan. De GET moet tweakers.net zijn bijvoorbeeld, dan lukt het wel. Komt er nog bij dat we hier connecteren naar https://... dan moet het certificaat van de website ook nog eens additioneel de IP's als SAN naam hebben staan om het te laten werken in moderne browsers.... kortom, direct surfen naar het IP is iets van de jaren 80, nu werkt dat niet meer, tenzij je een proof of concept gebouwd hebt om aan te tonen hoe DNS werkt ofzo...

baseoa @MPAnnihilator • 10 mei 2026 12:51

De manier die jij beschrijft stuurt niet de juiste server name indication en ook niet de juiste host-header. Zie bovenstaande reacties nog eens. Het staat echt los van DNS (mijn server antwoordt ook op domeinen die in DNS nooit naar mijn server verwezen hebben), maar je moet niet domweg de browser naar het IP laten surfen zonder verdere informatie

MPAnnihilator @baseoa • 11 mei 2026 13:08

Het ging hier over het DNS systeem dat op TLD niveau een onderbreking had. Mijn reactie op Heroic_Nonsense zijn post was er om aan te duiden dat simpelweg surfen naar het IP niet ging werken. Hij meldde "Op IP-adres waren de sites immers nog gewoon bereikbaar". Dan lees ik hier tussen de regels dat hij bedoelt ipv surfen naar https://tweakers.net, gewoon surfen naar https://2.16.6.12.

Ik denk dat wij gewoon allebij hetzelfde willen zeggen hoor.

GertMenkel @FrostyPeet • 6 mei 2026 08:13

Nuke proof was de belofte in vergelijking met eerdere systemen, waarbij specifieke adressen over specifieke links werden gestuurd die handmatig werden geconfigureerd.

Je kunt redundante servers opzetten zoveel je wilt, maar als je redundante servers verkeerd worden geconfigureerd en verkeerde antwoorden sturen, blijf je met de gebakken peren zitten.

zx9r_mario @FrostyPeet • 6 mei 2026 08:15

Dns kwam pas later. Daarvoor wisselde ze hostfiles uit.

dasiro @FrostyPeet • 6 mei 2026 07:55

don't blame the computer for human stupidity

GenomDalar1983 @FrostyPeet • 6 mei 2026 08:42

De rest van het internet was toch niet plat, toch?

locke960 @FrostyPeet • 6 mei 2026 12:03

Het internet is "nuke proof". Het internet gaat over verbindingen en automatisch routeren van datapakketjes over andere verbindingen als verbindingen uitvallen.

DNS is geen internet. Een Webserver is geen internet. AWS is geen internet. Dat zijn allemaal dingen die bovenop het internet draaien. Als je die dingen ontwerpt met eigen ingebouwde single-point-of-failures dan helpt het niet dat het onderliggende netwerk robuust is.

Het wegennet is ook "nuke proof". Als den Haag genuked wordt kun je nog van Rotterdam naar Amsterdam via Utrecht. Maar dan moet je auto het wel doen natuurlijk.

HKLM_ 6 mei 2026 07:38

Volledig is ook wat overdreven.. volgens APNIC maakt ongeveer 80% van de .de domeinen gebruik van DNSSEC, blijft er nog een 20% van de .de sites over die niet getroffen zijn.

LeonM @HKLM_ • 6 mei 2026 08:02

Niet helemaal. De .de zone (het TLD) is zelf ook signed, en die signature was niet geldig. Dus alle .de domeinen waren getroffen, ook als het domain zelf geen DNSSEC zone signing gebruikt.

Jay-v @LeonM • 6 mei 2026 08:30

Volgens mij werkt het zo niet. DNSSEC is chain based, als ik geen DS records heb voor mijnsite.de wordt de hele validatie geskipped, ook een NS query.

Staat overigens ook zo in het bron artikel

As a result, all DNSSEC-signed .de domains are currently affected in their reachability.

[Reactie gewijzigd door Jay-v op 6 mei 2026 08:32]

mdavids @Jay-v • 6 mei 2026 12:17

Volgens mij werkt het zo niet. DNSSEC is chain based, als ik geen DS records heb voor mijnsite.de wordt de hele validatie geskipped,

Oh ja?

En hoe bepaalt de resolver dan dat er geen DS voor mijnsite.de is in .de ?

[Reactie gewijzigd door mdavids op 6 mei 2026 13:05]

Jay-v @mdavids • 6 mei 2026 16:19

Fair point, dat doet de resolver door te bepalen of er een NXDOMAIN response terug komt (van .de). Maar ook dat antwoord moet ook geverifieerd worden natuurlijk.

alm @Jay-v • 6 mei 2026 12:49

Het zou logischer zijn dat de validatie wel gedaan wordt voor zones waarop het aan staat, dus als op de TLD DNSSEC aan staat (dus er is een DS-record in de parent) en de DNS Resolver doet aan validatie dan lijkt het me logisch dat het antwoord wat je krijgt uit de TLD gechecked wordt. Dat betekent niet dat de hele chain dan vervolgens op DNSSEC gevalideerd moet worden, dat hangt er weer vanaf of er een DS-record is voor de opgevraagde zone in de parent. Als er een onderbreking is, dus stel je hebt een subdomein (child) waarvoor een DS-record in de parent (het domein dus) staat en parent zelf heeft geen eigen DS-record in zijn parent (bijvoorbeeld de TLD), dan is de keten onderbroken heb je dus ook geen DNSSEC-validatie op het subdomein.

Het hangt er daarnaast helemaal vanaf of de resolver aan DNSSEC-validatie doet of niet, als die dat niet doet heb je dus ook geen last gehad van de verstoring bij het opvragen van .de domeinen.

Ik zal eens kijken wat mijn eigen resolvers doen om te zien of wat ik logisch vind ook daadwerkelijk gebeurt.

edit:
Validatie vindt dus ook plaats op de TLD en parentdomeinen i.g.v. een subdomein.

[Reactie gewijzigd door alm op 6 mei 2026 22:36]

Habbie @Jay-v • 6 mei 2026 13:03

De tekst in het bron-artikel klopt niet (of, specifieker, is incompleet). Ook unsigned .de domains hadden last.

GertMenkel @HKLM_ • 6 mei 2026 08:10

Het probleem voor veel resolvers zal zijn geweest dat het .de-domein zelf niet werkte.

Dat is natuurlijk alleen een probleem bij resolvers die DNSSEC valideren. Door het matige protocolontwerp achter DNSSEC is het namelijk de resolver die verantwoordelijk is voor de validatie, niet de client, en de resolver zet een bitje aan dat zegt "is veilig hoor". Je kunt je client vaak instellen om DNSSEC zelf te valideren, maar in de meeste gevallen is dat opt-in.

Voor de Duitsers is dat een probleem, maar voor veel anderen juist weer niet: https://stats.labs.apnic.net/dnssec

[Reactie gewijzigd door GertMenkel op 6 mei 2026 10:24]

Tozz @HKLM_ • 6 mei 2026 08:22

Zeker wel, want als de DNSSEC validatie voor .DE stuk is dan stopt het resolven al.

Het antwoord op de vraag "Wie is de DNS server voor tweakers.de" wordt al niet geaccepteerd vanwege falende DNSSEC. Of tweakers.de dan zelf DNSSEC gebruikt of niet is dan niet relevant.

Het gaat eerder al mis.

Internettoegang

@HKLM_ • 6 mei 2026 09:02

De ene 80% is de andere 80% niet. Goede kans dat die 80%, ongeveer 100% van de belangrijkste sites omvat (overheden, banken, techsites 😜, zoekmachines, webmail, streamingdiensten, enz, enz, enz.)

beerse @HKLM_ • 6 mei 2026 13:38

Tel daarbij dat heel veel dns verkeer wordt gebufferd, inclusief dat de security ook niet meteen is verlopen. Daarmee kan het zomaar zo zijn dat veel gebruikers er niet direct last van hebben.

Bart ® Moderator Spielerij

6 mei 2026 07:35

https://isitdns.com/

Wolfos @Bart ® • 6 mei 2026 09:49

Bijzonder dat een website met één woord op een zwarte achtergrond 3,8kb aan HTML en bijna 20kb aan Javascript binnenhaalt, waaronder Google Tag Manager want het moet uiteraard bijgehouden worden dat je hier geweest bent...

Justientje 6 mei 2026 07:35

Het is altijd dns

segil @Justientje • 6 mei 2026 08:28

nee, het is altijd de firewall

Arthur Tromp @segil • 6 mei 2026 09:22

Ik dacht dat het altijd de gebruiker was.

segil @Arthur Tromp • 6 mei 2026 09:25

dat sowieso

arjankoole @Justientje • 6 mei 2026 09:29

behalve als het BGP is.:-p (toch, facebook?)

AzzKickah @Justientje • 6 mei 2026 11:11

Het is altijd accu.

Webgnome 6 mei 2026 07:43

.de nial of service..

gdhaaijer 6 mei 2026 08:01

De problemen ontstonden rond 21.50 op zondagnacht.

Zondag of dinsdag?

[Reactie gewijzigd door gdhaaijer op 6 mei 2026 08:05]

Ohmarinus 6 mei 2026 08:20

Aha, ik vroeg me al af waarom DHL.de gisteren niet werkte. Ik dacht dat het probleem bij DHL lag. Toch wel weer interessant en waardevol om te lezen hoe het echt zat.

rootpowered 6 mei 2026 11:13

Dat verklaart een hoop. Gisteravond heb ik voor het eerst een bestelling gedaan op een Duitse webshop, maar later was die ineens offline. Ik was even bang dat mijn geld verdwenen was.

baseoa @rootpowered • 6 mei 2026 13:08

Mijn vriendin was ook iets op een .de aan het bestellen toen ik het verse nieuws zag. Heb 'r aangeraden de bestelling af te ronden zolang de caches nog heet zijn xD. Gelukkig ging dat goed, ook incl. betalen waarvoor ik bang was dat het een nieuw domein zou moeten laden. Misschien liep dat via stripe punt com. We vroegen ons af of, als dit tot in de ochtend duurt, dingen als hun back-end nog wel werken of dat in het warenhuis alles chaos is. Tot dusver niks gehoord, en gezien het opgelost was voor drieën... ik had de popcorn an aangebroken maar er lijkt uiteindelijk niks aan het handje

[Reactie gewijzigd door baseoa op 6 mei 2026 13:08]

Om te kunnen reageren moet je ingelogd zijn