Was ist DNSSEC?
Domain Name Security Extensions (DNSSEC) ist eine erweiterte DNS-Funktion, die DS-Records (digitale Signaturen) an Ihre DNS-Daten anhängt und Ihre Domains so um eine zusätzliche Sicherheitsebene ergänzt. Führen Sie ein Upgrade auf Premium DNS durch, um DNSSEC für Ihr Konto zu aktivieren. Wenn Sie selbstverwaltete DNSSEC nutzen, können Sie Ihrem Konto manuell einen DS-Record hinzufügen.
Wählen Sie eine Frage aus, um ihre Antwort anzuzeigen:
- Was ist DNSSEC?
- Warum wird meine Website nicht mehr korrekt aufgelöst, nachdem ich DNSSEC aktiviert habe?
- Wie kann ich DNSSEC aktivieren und meine Zone signieren?
- Woher weiß ich, ob die von mir angeforderte URL DNSSEC-kompatibel ist?
- Warum verwendet nicht jeder DNSSEC, wenn das Internet dadurch sicherer wird?
- Gibt es irgendeinen Grund, der dafür spräche, DNSSEC nicht zu verwenden?
Was ist DNSSEC?
Die Domain Name System Security Extensions (DNSSEC) ergänzen den DNS-Record (Domain Name System) eines Domainnamens mit digitalen Signaturen, um die Authentizität des Quelldomainnamens zu bestimmen. Sinn und Zweck von DNSSEC ist es, Internetnutzer vor gefälschten DNS-Daten zu schützen, die statt zur vorgesehenen zu falschen und womöglich gefährlichen Adressen weiterleiten.
Wenn DNSSEC aktiviert ist, prüft DNS anhand einer digitalen Signatur, ob die Quelle für den DNS-Eintrag Ihrer Website valide ist. So lassen sich bestimmte Angriffsformen vermeiden: Wenn die digitale Signatur nicht übereinstimmt, wird die Website im Browser nicht angezeigt.
Warum wird meine Website nicht mehr vom Resolver aufgelöst, wenn ich DNSSEC aktiviert habe?
Die digitale Signatur, die Sie in einem DS-Record (Delegation Signer) speichern, muss der digitalen Signatur entsprechen, die von den Nameservern Ihrer Domain generiert wird. Andernfalls kann die Domain Ihre Website nicht auflösen. Vergleichen Sie die eingegebenen DS-Record-Informationen genau mit dem auf dem Nameserver gespeicherten Zonen-Record, um sicherzustellen, dass sie übereinstimmen.
Wie kann ich DNSSEC aktivieren und meine Zone signieren?
GoDaddy bietet eine vollständig verwaltete DNSSEC-Option in Form unseres Premium DNS an. Wenn Ihre Domain GoDaddy-Nameserver verwendet, können Sie DNSSEC für Ihre Domains aktivieren. Wir kümmern uns dann für Sie um die Zonensignierung.
Wenn Ihre Domain bei GoDaddy registriert ist, aber Sie die GoDaddy-Nameserver nicht verwenden, müssen Sie bei Ihrem DNS-Anbieter selbstverwaltete DNSSEC einrichten. Hierzu müssen Sie während des Domainsignaturvorgangs auf digitalem Wege private und öffentliche Schlüssel sowie einen Declaration of Signing-Record erstellen. Die Anforderungen und Beschränkungen können je nach Domainregistrierungsstelle und Ihrem DNS-Anbieter variieren. Setzen Sie sich mit Ihrem DNS-Anbieter in Verbindung, um weitere Informationen zu erhalten, oder stellen Sie auf GoDaddy-Nameserver und Premium DNS um, um vollständig verwaltete DNSSEC über uns in Anspruch zu nehmen.
Woher weiß ich, ob die von mir angeforderte URL DNSSEC-AWARE ist?
Tritt bei einer URL mit aktiviertem DNSSEC ein Verifizierungsproblem auf, dann wird Ihnen eine Meldung angezeigt, dass die Website nicht existiert.
Leider sind Browser derzeit nicht für die DNSSEC-Erkennung eingerichtet. Anders als bei SSL, das durch ein Schlosssymbol visualisiert wird, erhalten Sie im Browser bei mit DNSSEC geschützter Website keinen optischen Hinweis.
Warum verwenden nicht alle DNSSEC, wenn das Internet dadurch sicherer wird?
Die Implementierung von DNSSEC im gesamten Internet ist eine relativ komplexe Angelegenheit. Hierfür müsste zunächst ein internationaler Kompromiss gefunden werden, und es entstünde ein hoher Aufwand, verbunden mit teils erheblichen Kosten. Die Implementierung schreitet stetig voran, jedoch immer nur für eine Domainnamenserweiterung und eine Registrierungsstelle nach der anderen. Sobald die DNSSEC-Unterstützung für eine Erweiterung gegeben ist, stehen wir bereit, die für die von uns registrierten Domainnamen erforderliche Umsetzung vorzunehmen.
Gibt es irgendeinen Grund, der dafür spräche, DNSSEC nicht zu verwenden?
Zwar gibt es absolut keinen Grund dafür, dass eine Domain DNSSEC nicht verwenden sollte, doch gibt es einige Faktoren, aufgrund derer der Einsatz weniger wünschenswert sein kann. DNSSEC ist relativ datenintensiv, wodurch die Performance der Website beeinträchtigt werden kann. Außerdem wird das DNS dadurch weniger stabil und die Chance eines Ausfalls erhöht sich geringfügig.
Wenn Sie dagegen wertvolle Daten schützen möchten, sind die potentiellen Risiken minimal, und der Einsatz von DNSSEC kann in diesem Fall sehr sinnvoll sein. Werden Sie jedoch nicht regelmäßig Opfer böswilliger Aktivitäten, erfassen keine sensiblen Daten und befinden Sie sich auch nicht in einer exponierten Position (etwa weil Sie politisch aktiv sind), dann können Sie im Zweifelsfall auf DNSSEC verzichten.
Ähnlicher Schritt
- Führen Sie ein Upgrade auf Premium DNS durch und aktivieren Sie DNSSEC, um unsere vollständig verwalteten DNSSEC-Services optimal zu nutzen.
- Bei Verwendung von selbstverwaltetem DNSSEC fügen Sie Ihrer Domain einen neuen DS-Record hinzu.
Weitere Informationen
- Einige Domains, z. B. länderspezifische Top-Level-Domains, unterstützen DNSSEC nicht.
- Sie können den Schutz Ihrer Website mit SSL und Website-Sicherheit weiter verbessern.
- Wir empfehlen zum Schutz Ihres GoDaddy-Kontos die zweistufige Verifizierung.