Defaults.Exposed › Berichte
Was ist DNSSEC – und brauchen Sie es wirklich? (2026)
Veröffentlicht 2026-07-01
Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. DNSSEC fügt DNS kryptografische Signaturen hinzu, sodass ein Resolver nachweisen kann, dass eine Antwort tatsächlich von Ihnen stammt und nicht manipuliert wurde. Siehe wie wir bewerten.
DNSSEC versieht jede DNS-Antwort für Ihre Domain mit einer Signatur, sodass ein Angreifer nicht heimlich eine gefälschte einschleusen und Ihre Besucher woanders hinschicken kann. Es ist eine der am wenigsten verbreiteten Schutzmaßnahmen im Web: Nur 1,99 % der 261 Millionen Domains verfügen über eine gültige signierte Vertrauenskette. Es ist auch eine der wenigen Maßnahmen, bei denen eine fehlerhafte Konfiguration schlimmer ist als gar keine – 3,02 % der Domains sind signiert, aber fehlerhaft, was sie unerreichbar machen kann. Hier erfahren Sie, was es leistet und ob Sie es brauchen.
Wovor DNSSEC tatsächlich schützt
Einfaches DNS bietet keine Möglichkeit, die Echtheit einer Antwort nachzuweisen. Das öffnet die Tür für Cache-Poisoning und On-Path-DNS-Spoofing – ein Angreifer schleust einem Resolver einen gefälschten Eintrag unter und leitet Ihre Besucher oder Ihre E-Mails auf seinen Server um, ohne dass eine Zertifikatswarnung dies verrät. DNSSEC schließt diese Lücke, indem es die Einträge signiert, sodass ein validierender Resolver alles zurückweist, was sich nicht verifizieren lässt.
Was es nicht leistet: Es verschlüsselt DNS nicht, sichert nicht die Website selbst und ersetzt weder HTTPS, DMARC noch CAA. Es ist eine Schicht – Integrität für DNS-Antworten.
Das Verbreitungsbild
- 1,99 % signiert und gültig.
- 3,02 % signiert, aber fehlerhaft – eine Signatur, die die Validierung nicht besteht und die Domain für alle, die einen validierenden Resolver nutzen, ausfallen lassen kann. Das ist das Risiko, das die Leute vorsichtig macht.
- Wo eine Registry sie aktiv fördert, ist die Verbreitung deutlich höher: Registry-getriebene Länderendungen erreichen 9,1 % gültig, gegenüber 1,3 % bei anderen Länderendungen. Die Verbreitung ist ein politischer Hebel, keine technische Grenze. Siehe funktioniert verpflichtendes DNSSEC und das DNSSEC-Paradoxon.
Nach Domain-Endung schwankt gültiges DNSSEC stark: 18,38 % bei .se, 11,86 % bei .nl, 14,62 % bei .cz – gegenüber nur 1,62 % bei .com.
Brauchen Sie es?
- Hochwertige oder gezielt angegriffene Domains – Banken, Behörden, Infrastruktur, alles, wo das Umleiten von Nutzern oder E-Mails eine ernsthafte Beute darstellt – profitieren am meisten.
- Compliance-getriebene Organisationen – DNSSEC taucht zunehmend in Sicherheitsfragebögen und in einigen Branchenvorschriften auf.
- Alle anderen – es ist ein sinnvoller Härtungsschritt, sofern Ihr DNS-Anbieter ihn mit einem Klick ermöglicht und die Schlüsselwechsel für Sie verwaltet. Wenn das Aktivieren bedeutet, Schlüssel von Hand zu verwalten, bei denen Ihnen Fehler unterlaufen könnten, ist das Risiko einer fehlerhaften Signatur real – tun Sie es dort, wo es automatisiert ist.
Wie Sie es sicher aktivieren
- Nutzen Sie einen DNS-Anbieter, der DNSSEC automatisiert – Signierung und Schlüsselwechsel werden für Sie erledigt (die meisten großen Anbieter tun dies inzwischen mit einem Klick). Siehe DNSSEC beheben.
- Aktivieren Sie die Signierung und veröffentlichen Sie anschließend den DS-Eintrag bei Ihrem Registrar, um die Vertrauenskette zu vervollständigen.
- Validieren Sie, dass die Kette auflöst, bevor Sie sich zurücklehnen – eine signierte, aber fehlerhafte Domain ist schlimmer als eine unsignierte.
- Verwalten Sie Schlüssel niemals von Hand, es sei denn, Sie verfügen über das Werkzeug, um sie zuverlässig zu rotieren.
Häufig gestellte Fragen
Was ist DNSSEC in einfachen Worten? Es ist eine Reihe digitaler Signaturen auf Ihren DNS-Einträgen, sodass Resolver nachweisen können, dass die Antwort echt ist und während der Übertragung nicht gefälscht wurde.
Brauche ich DNSSEC wirklich? Am wertvollsten ist es für stark angegriffene Domains und dort, wo Compliance es verlangt. Für alle anderen ist es ein guter Härtungsschritt, sofern Ihr DNS-Anbieter es automatisiert – das Hauptrisiko ist eine Fehlkonfiguration, die 3,02 % der Domains derzeit aufweisen.
Verschlüsselt DNSSEC mein DNS? Nein. Es weist die Integrität nach (die Antwort ist authentisch), verbirgt aber die Anfrage nicht. Das ist eine andere Technologie (DoH/DoT).
Kann DNSSEC meine Website lahmlegen? Eine fehlerhafte oder abgelaufene Signatur kann Ihre Domain für alle, die einen validierenden Resolver nutzen, unauflösbar machen. Deshalb sind automatisierte Signierung und Schlüsselwechsel wichtig.
Ist DNSSEC kostenlos? Bei den meisten modernen DNS-Anbietern ja – es ist eine Einstellung, kein Kauf.
Prüfen Sie das DNSSEC Ihrer Domain kostenlos
Sehen Sie, ob Ihre Domain signiert, gültig und korrekt verkettet ist – vertraulich und nur für den Eigentümer.
Domain prüfen → · DNSSEC beheben → · Funktioniert verpflichtendes DNSSEC? → · Wie wir bewerten → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.