Defaults.Exposed

Defaults.Exposed › Berichte

Funktioniert verpflichtendes DNSSEC? Was registry-getriebene Verbreitung verrät (2026)

Veröffentlicht 2026-06-29

Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains, nach nationaler Domain-Endung (ein Näherungswert für die Politik der Registry, nicht den Firmensitz). „Registry-getrieben” = die Registry der Endung fördert DNSSEC aktiv durch Anreize oder Anforderungen — meist Registrar-Anreize, keine gesetzlichen Vorgaben. „Gültig” = eine DNSSEC-Kette, die validiert; „kaputt” = signiert, aber bei der Validierung fehlschlagend. Siehe wie wir bewerten.

Bewegt es die Verbreitung tatsächlich, wenn man Registrare zu DNSSEC drängt? Ja — eindeutig — aber mit einem Haken. Auf Endungen, deren Registries DNSSEC vorantreiben, haben 9,1% der Domains eine gültige Signatur, gegenüber nur 1,3% auf Endungen, die es den Eigentümern überlassen — rund 7× höher. Politik wirkt dort, wo freiwillige Verbreitung stagniert. Der Haken: Selbst bei den Spitzenreitern brechen mehr Domains DNSSEC, als es richtig hinbekommen — Registry-Druck löst also das Einschalten, nicht das korrekte Umsetzen.

Erhöht das Drängen auf DNSSEC die Verbreitung?

Eindeutig. Registry-getriebene nationale Endungen liegen bei etwa 10–18 % gültigem DNSSEC; Laissez-faire-Endungen liegen nahe dem globalen Tiefpunkt von 1,99%. Ein höherer Gültig-Prozentsatz ist besser; der Kaputt-Prozentsatz ist der Preis für Fehler. Mit Stand 2026-06-29:

EndungHaltung der RegistryDNSSEC gültigKaputt
.se (Schweden)Getrieben (Registrar-Anreize)18,38%30,35%
.no (Norwegen)Getrieben16,59%25,24%
.sk (Slowakei)Getrieben16,61%25,59%
.cz (Tschechien)Getrieben (Registrar-Anreize)14,62%26,28%
.nl (Niederlande)Getrieben (Registrar-Anreize)11,86%22,98%
.fr (Frankreich)Getrieben5,13%9,54%
.comLaissez-faire1,62%2,44%
.de (Deutschland)Laissez-faire0,92%1,60%
.uk (Vereinigtes Königreich)Laissez-faire1,06%1,72%

Schwedens 18,38% sind mehr als das Zehnfache von .coms 1,62%. Die Lücke liegt nicht an der Technologie — es ist überall dasselbe Protokoll — sondern daran, ob jemand in der Kette einen Grund hatte, es einzusetzen.

Der Haken: mehr kaputt als funktionierend

Hier kommt die unbequeme Hälfte. In jeder der oben genannten Registry-getriebenen Endungen ist die Kaputt-Rate höher als die Gültig-Rate — Schweden weist 30,35% kaputt gegenüber 18,38% gültig auf; die Niederlande 22,98% gegenüber 11,86%. Über alle getriebenen Endungen hinweg sind es 15,7% kaputt gegenüber 9,1% gültig.

Das ist wichtig, weil kaputtes DNSSEC nicht harmlos ist: Ein validierender Resolver weigert sich, eine Domain aufzulösen, deren Signaturen nicht stimmen, sodass eine Fehlkonfiguration die Domain für einen Teil des Internets offline nehmen kann — Website und E-Mail. Die Verbreitung voranzutreiben, ohne die Korrektheit voranzutreiben, skaliert die Ausfälle parallel zum Schutz. Es ist dasselbe Ausführungsproblem, das das gesamte Web im DNSSEC-Paradoxon zeigt, nur verstärkt dort, wo mehr Domains es versuchen.

Warum Registry-Politik besser ist, als es den Eigentümern zu überlassen

DNSSEC hat für einen einzelnen Eigentümer kein erzwingendes Ereignis: Nichts bricht oder warnt, wenn man es auslässt, also bleibt die Verbreitung auf einer Laissez-faire-Endung wie .com unbegrenzt flach bei nahezu 1,62%. Die Registries, die daraus ausgebrochen sind, taten es durch Ökonomie, nicht durch Erlasse — typischerweise Registrar-Anreize (Rabatte oder Rückvergütungen für das Signieren von Zonen) plus Provider-Automatisierung, was die nordischen, tschechischen und niederländischen Registries ihre gesamte Population anheben ließ. Es ist ein sauberes natürliches Experiment: dasselbe Protokoll, dieselbe Schwierigkeit, sehr unterschiedliche Ergebnisse — und der Unterschied ist die Registry-Politik.

Vorgabe oder Anreiz — was bewegt tatsächlich etwas?

Hauptsächlich Anreiz. Trotz des „verpflichtenden” Rahmens, in dem die Frage meist gestellt wird, ermutigen die Endungen mit hoher Verbreitung hier in der Regel zu DNSSEC, statt es gesetzlich vorzuschreiben; harte Vorgaben sind seltener (manche Regierungen verlangen es für Domains des öffentlichen Sektors). Die Lehre für jede Registry: Die Registrar-Ökonomie und Automatisierung auf das Signieren auszurichten, funktioniert — aber es sollte mit verwaltetem Signieren und Schlüsselwechsel kombiniert werden, sonst produziert man einfach mehr kaputte Zonen.

Häufig gestellte Fragen

Erhöht das Vorschreiben oder Fördern von DNSSEC tatsächlich die Verbreitung? Ja — etwa um das 7-Fache in unseren Daten: 9,1% gültig auf Registry-getriebenen Endungen gegenüber 1,3% auf Laissez-faire-Endungen, mit Stand 2026-06-29.

Welches Land oder welche TLD hat das meiste DNSSEC? Unter den großen Endungen führt Schweden (.se) mit 18,38% gültig — über das Zehnfache von .coms 1,62%.

Wenn die Verbreitung höher ist, wird DNSSEC dann korrekt umgesetzt? Oft nicht. In jeder Endung mit hoher Verbreitung übertrifft kaputtes DNSSEC das gültige (15,7% gegenüber 9,1% über die getriebenen Endungen hinweg) — und kaputtes DNSSEC kann eine Domain offline nehmen.

Sollte ein kleines Unternehmen DNSSEC einschalten? Nur, wenn es korrekt verwaltet wird — eine kaputte Signatur ist schlimmer als keine. Verwenden Sie einen Anbieter, der Signierung und Schlüsselwechsel übernimmt, und überprüfen Sie, dass es validiert. Siehe wie man DNSSEC repariert.

Überprüfen Sie das DNS Ihrer Domain

Sehen Sie, ob Ihr DNSSEC gültig, kaputt oder nicht vorhanden ist — und den Rest Ihrer Sicherheitslage — privat und kostenlos.

Überprüfen Sie Ihre Domain → · Das DNSSEC-Paradoxon → · Wer betreibt das DNS des Internets? → · DNSSEC reparieren → · Nur Aggregatdaten. Daten in der EU gespeichert und verarbeitet.