DNSSEC erklärt
DNSSEC (Domain Name System Security Extensions) fügt DNS eine Authentifizierungsschicht hinzu. Es ermöglicht Resolvern zu überprüfen, dass DNS-Einträge während der Übertragung nicht manipuliert wurden, und schützt so vor Angriffen wie Cache Poisoning und DNS-Spoofing.
Das Problem, das DNSSEC löst
Standard-DNS wurde ohne eingebaute Sicherheit entwickelt. Wenn ein Resolver eine DNS-Antwort erhält, hat er keine Möglichkeit zu überprüfen, ob die Antwort tatsächlich vom legitimen Nameserver stammt. Das öffnet die Tür für mehrere Angriffe:
- Cache Poisoning — ein Angreifer schleust gefälschte DNS-Einträge in den Cache eines Resolvers ein und leitet Traffic auf einen bösartigen Server um. Nutzer denken, sie besuchen die echte Website, sind aber tatsächlich mit einer Fälschung verbunden
- DNS-Spoofing — ein Angreifer fängt eine DNS-Abfrage ab und gibt eine gefälschte Antwort zurück, bevor der legitime Nameserver antworten kann
- Man-in-the-Middle — ein Angreifer sitzt zwischen Resolver und Nameserver und verändert Antworten während der Übertragung
Alle diese Angriffe nutzen die gleiche Schwachstelle aus: DNS-Antworten werden nicht authentifiziert. DNSSEC behebt dies, indem jeder DNS-Eintrag kryptografisch signiert wird.
Wie DNSSEC funktioniert
DNSSEC verwendet Public-Key-Kryptografie, um DNS-Einträge zu signieren. Jede Zone (z. B. example.com) hat ein Schlüsselpaar:
- Zone Signing Key (ZSK) — signiert die DNS-Einträge in der Zone. Der private Schlüssel bleibt auf dem Nameserver; der öffentliche Schlüssel wird als DNSKEY-Eintrag veröffentlicht
- Key Signing Key (KSK) — signiert die DNSKEY-Einträge selbst. Dies bietet eine zweite Vertrauensebene, damit der ZSK rotiert werden kann, ohne die übergeordnete Zone zu aktualisieren
Wenn ein Resolver example.com abfragt, erhält er sowohl den DNS-Eintrag als auch eine entsprechende RRSIG (Resource Record Signature). Der Resolver verwendet den veröffentlichten DNSKEY, um die Signatur zu überprüfen. Ist die Signatur gültig, ist die Antwort authentisch. Andernfalls wird sie abgelehnt.
Die Vertrauenskette
Die DNSSEC-Validierung funktioniert nicht isoliert — sie basiert auf einer Vertrauenskette von der Root-Zone bis zu deiner Domain:
- Root-Zone — die Root-Server sind signiert, und ihre öffentlichen Schlüssel sind als Vertrauensanker in die Resolver-Software eingebettet
- TLD-Zone — die Root-Zone enthält einen DS-Eintrag (Delegation Signer), der auf den DNSKEY der
.com-Zone verweist. Dies beweist, dass die Schlüssel des.com-Nameservers legitim sind - Deine Domain — die
.com-Zone enthält einen DS-Eintrag, der auf den DNSKEY deiner Domain verweist. Dies beweist, dass die Schlüssel deines Nameservers legitim sind
Jede Ebene bürgt für die darunterliegende Ebene. Ein Resolver beginnt bei der Root (der er standardmäßig vertraut), überprüft die TLD und dann deine Domain. Wenn ein Glied in der Kette fehlt oder gebrochen ist, schlägt die Validierung fehl.
DNSSEC-Eintragstypen
DNSSEC führt mehrere neue DNS-Eintragstypen ein:
| Eintrag | Zweck |
|---|---|
| DNSKEY | Enthält den öffentlichen Schlüssel zur Signaturprüfung |
| RRSIG | Die kryptografische Signatur für einen DNS-Eintragssatz |
| DS | Delegation Signer — verknüpft eine übergeordnete Zone mit dem Schlüssel einer untergeordneten Zone |
| NSEC/NSEC3 | Beweist, dass ein abgefragter Name nicht existiert (authentifizierte Verneinung) |
Diese Einträge werden von DNSSEC-fähigen Nameservern automatisch verwaltet. Du musst sie nicht manuell erstellen.
Was DNSSEC nicht tut
DNSSEC schützt die Datenintegrität — es beweist, dass DNS-Antworten nicht verändert wurden. Es kann jedoch nicht:
- DNS-Abfragen verschlüsseln — Abfragen und Antworten werden weiterhin im Klartext gesendet. Für Verschlüsselung nutze DNS over HTTPS (DoH) oder DNS over TLS (DoT)
- Vor DDoS schützen — DNSSEC verhindert keine volumetrischen Angriffe gegen Nameserver
- Website-Sicherheit garantieren — DNSSEC überprüft die Adresse, nicht das Ziel. Eine gültige DNSSEC-Antwort kann immer noch auf einen kompromittierten Server verweisen
DNSSEC und Verschlüsselung (DoH/DoT) ergänzen sich gegenseitig. DNSSEC stellt sicher, dass Antworten authentisch sind; Verschlüsselung stellt sicher, dass sie privat sind.
DNSSEC auf Sitequest aktivieren
Du kannst DNSSEC für deine Domains direkt im Sitequest-Dashboard aktivieren:
- Gehe zu Domains in deinem Dashboard
- Wähle die Domain aus, die du absichern möchtest
- Öffne den DNSSEC-Tab
- Klicke auf DNSSEC aktivieren
Sitequest übernimmt die Schlüsselgenerierung, Eintragssignierung und DS-Eintrag-Veröffentlichung bei der Registry automatisch. Keine manuelle Schlüsselverwaltung erforderlich.
Nach der Aktivierung kann es bis zu 24 Stunden dauern, bis die DS-Einträge durch die Registry propagiert sind und Resolver beginnen, deine Domain zu validieren.
DNSSEC überprüfen
Du kannst mit öffentlichen Tools prüfen, ob DNSSEC für eine Domain aktiv und gültig ist:
- dig — führe
dig +dnssec example.comaus und suche nach RRSIG-Einträgen in der Antwort - Online-Validatoren — Dienste wie DNSViz oder Verisigns DNSSEC Debugger visualisieren die Vertrauenskette und markieren Probleme
Eine korrekt konfigurierte Domain zeigt eine vollständige Kette von der Root-Zone über die TLD bis zu deiner Domain, mit gültigen Signaturen auf jeder Ebene.
Häufige Probleme
- Gebrochene Vertrauenskette — wenn der DS-Eintrag bei der Registry nicht mit dem DNSKEY auf deinem Nameserver übereinstimmt, schlägt die Validierung fehl und Resolver weigern sich möglicherweise, deine Domain aufzulösen
- Abgelaufene Signaturen — RRSIG-Einträge haben Ablaufzeitstempel. Wenn der Nameserver Einträge nicht rechtzeitig neu signiert, schlägt die Validierung fehl
- Schlüsselrotation — bei der Rotation von Schlüsseln müssen während der Übergangsphase sowohl alte als auch neue Schlüssel veröffentlicht sein
Diese Probleme werden beim Einsatz von Sitequests verwaltetem DNSSEC automatisch behandelt.
Nächste Schritte
- DNSSEC aktivieren für deine Domains im Dashboard
- Erfahre, wie DNS funktioniert, um die Auflösungskette zu verstehen
- DNS-Einträge verwalten für deine Domains