|  Start
Hilfe

Domains Hilfe

Was ist DNSSEC?

Die Domain Name System Security Extensions (DNSSEC) ergänzen den DNS-Record (Domain Name System) eines Domainnamens mit digitalen Signaturen, um die Authentizität des Quelldomainnamens zu bestimmen. Sinn und Zweck von DNSSEC ist es, Internetnutzer vor gefälschten DNS-Daten zu schützen, die statt zur vorgesehenen zu falschen und womöglich gefährlichen Adressen weiterleiten.

Wenn DNSSEC aktiviert ist, prüft DNS anhand einer digitalen Signatur, ob die Quelle für den DNS-Eintrag Ihrer Website valide ist. So lassen sich bestimmte Angriffsformen vermeiden: Wenn die digitale Signatur nicht übereinstimmt, wird die Website im Browser nicht angezeigt.

Warum wird meine Website nicht mehr vom Resolver aufgelöst, wenn ich DNSSEC aktiviert habe?

Die digitale Signatur, die Sie in einem DS-Record (Delegation Signer) speichern, muss der digitalen Signatur entsprechen, die von den Nameservern Ihrer Domain generiert wird. Andernfalls kann die Domain Ihre Website nicht auflösen. Vergleichen Sie die eingegebenen DS-Record-Informationen genau mit dem auf dem Nameserver gespeicherten Zonen-Record, um sicherzustellen, dass sie übereinstimmen.

Wie kann ich DNSSEC aktivieren und meine Zone signieren?

Wenn Sie Ihr Konto bei uns auf Premium DNS aktualisieren und DNSSEC aktivieren, kümmern wir uns in Ihrem Auftrag um den Zonensignierprozess.

Über Ihren DNS-Anbieter können Sie selbstverwaltetes DNSSEC einrichten. Zum Aktivieren des selbstverwalteten DNSSEC müssen Sie bei der Domainnamenssignierung private und öffentliche Schlüssel erstellen und einen DS-Record digital generieren. Die Anforderungen und Beschränkungen können je nach Registrierungsstelle Ihres Domainnamens und Ihrem DNS-Anbieter variieren. Weitere Informationen erhalten Sie bei Ihrem DNS-Anbieter.

Woher weiß ich, ob die von mir angeforderte URL DNSSEC-AWARE ist?

Tritt bei einer URL mit aktiviertem DNSSEC ein Verifizierungsproblem auf, dann wird Ihnen eine Meldung angezeigt, dass die Website nicht existiert.

Leider sind Browser derzeit nicht für die DNSSEC-Erkennung eingerichtet. Anders als bei SSL, das durch ein Schlosssymbol visualisiert wird, erhalten Sie im Browser bei mit DNSSEC geschützter Website keinen optischen Hinweis.

Warum verwenden nicht alle DNSSEC, wenn das Internet dadurch sicherer wird?

Die Implementierung von DNSSEC im gesamten Internet ist eine relativ komplexe Angelegenheit. Hierfür müsste zunächst ein internationaler Kompromiss gefunden werden, und es entstünde ein hoher Aufwand, verbunden mit teils erheblichen Kosten. Die Implementierung schreitet stetig voran, jedoch immer nur für eine Domainnamenserweiterung und eine Registrierungsstelle nach der anderen. Sobald die DNSSEC-Unterstützung für eine Erweiterung gegeben ist, stehen wir bereit, die für die von uns registrierten Domainnamen erforderliche Umsetzung vorzunehmen.

Gibt es irgendeinen Grund, der dafür spräche, DNSSEC nicht zu verwenden?

Zwar gibt es absolut keinen Grund dafür, dass eine Domain DNSSEC nicht verwenden sollte, doch gibt es einige Faktoren, aufgrund derer der Einsatz weniger wünschenswert sein kann. DNSSEC ist relativ datenintensiv, wodurch die Performance der Website beeinträchtigt werden kann. Außerdem wird das DNS dadurch weniger stabil und die Chance eines Ausfalls erhöht sich geringfügig.

Wenn Sie dagegen wertvolle Daten schützen möchten, sind die potentiellen Risiken minimal, und der Einsatz von DNSSEC kann in diesem Fall sehr sinnvoll sein. Werden Sie jedoch nicht regelmäßig Opfer böswilliger Aktivitäten, erfassen keine sensiblen Daten und befinden Sie sich auch nicht in einer exponierten Position (etwa weil Sie politisch aktiv sind), dann können Sie im Zweifelsfall auf DNSSEC verzichten.

Ähnlicher Schritt

Weitere Informationen


War dieser Artikel hilfreich?
Vielen Dank für deine Vorschläge. Um mit einem Mitarbeiter unsere Kundenservice zu sprechen, nutze bitte die Telefonnummer des Support oder die Chat-Option oben.
Gern geschehen! Können wir sonst noch etwas für Sie tun?
Tut uns leid. Teile uns mit, was unklar war, und warum diese Lösung nicht zur Behebung des Problems geführt hat.