Defaults.Exposed

Defaults.Exposed › Berichte

Was ist DNSSEC – und brauchen Sie es wirklich? (2026)

Veröffentlicht 2026-07-01

Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. DNSSEC fügt DNS kryptografische Signaturen hinzu, sodass ein Resolver nachweisen kann, dass eine Antwort tatsächlich von Ihnen stammt und nicht manipuliert wurde. Siehe wie wir bewerten.

DNSSEC versieht jede DNS-Antwort für Ihre Domain mit einer Signatur, sodass ein Angreifer nicht heimlich eine gefälschte einschleusen und Ihre Besucher woanders hinschicken kann. Es ist eine der am wenigsten verbreiteten Schutzmaßnahmen im Web: Nur 1,99 % der 261 Millionen Domains verfügen über eine gültige signierte Vertrauenskette. Es ist auch eine der wenigen Maßnahmen, bei denen eine fehlerhafte Konfiguration schlimmer ist als gar keine – 3,02 % der Domains sind signiert, aber fehlerhaft, was sie unerreichbar machen kann. Hier erfahren Sie, was es leistet und ob Sie es brauchen.

Wovor DNSSEC tatsächlich schützt

Einfaches DNS bietet keine Möglichkeit, die Echtheit einer Antwort nachzuweisen. Das öffnet die Tür für Cache-Poisoning und On-Path-DNS-Spoofing – ein Angreifer schleust einem Resolver einen gefälschten Eintrag unter und leitet Ihre Besucher oder Ihre E-Mails auf seinen Server um, ohne dass eine Zertifikatswarnung dies verrät. DNSSEC schließt diese Lücke, indem es die Einträge signiert, sodass ein validierender Resolver alles zurückweist, was sich nicht verifizieren lässt.

Was es nicht leistet: Es verschlüsselt DNS nicht, sichert nicht die Website selbst und ersetzt weder HTTPS, DMARC noch CAA. Es ist eine Schicht – Integrität für DNS-Antworten.

Das Verbreitungsbild

Nach Domain-Endung schwankt gültiges DNSSEC stark: 18,38 % bei .se, 11,86 % bei .nl, 14,62 % bei .cz – gegenüber nur 1,62 % bei .com.

Brauchen Sie es?

Wie Sie es sicher aktivieren

  1. Nutzen Sie einen DNS-Anbieter, der DNSSEC automatisiert – Signierung und Schlüsselwechsel werden für Sie erledigt (die meisten großen Anbieter tun dies inzwischen mit einem Klick). Siehe DNSSEC beheben.
  2. Aktivieren Sie die Signierung und veröffentlichen Sie anschließend den DS-Eintrag bei Ihrem Registrar, um die Vertrauenskette zu vervollständigen.
  3. Validieren Sie, dass die Kette auflöst, bevor Sie sich zurücklehnen – eine signierte, aber fehlerhafte Domain ist schlimmer als eine unsignierte.
  4. Verwalten Sie Schlüssel niemals von Hand, es sei denn, Sie verfügen über das Werkzeug, um sie zuverlässig zu rotieren.

Häufig gestellte Fragen

Was ist DNSSEC in einfachen Worten? Es ist eine Reihe digitaler Signaturen auf Ihren DNS-Einträgen, sodass Resolver nachweisen können, dass die Antwort echt ist und während der Übertragung nicht gefälscht wurde.

Brauche ich DNSSEC wirklich? Am wertvollsten ist es für stark angegriffene Domains und dort, wo Compliance es verlangt. Für alle anderen ist es ein guter Härtungsschritt, sofern Ihr DNS-Anbieter es automatisiert – das Hauptrisiko ist eine Fehlkonfiguration, die 3,02 % der Domains derzeit aufweisen.

Verschlüsselt DNSSEC mein DNS? Nein. Es weist die Integrität nach (die Antwort ist authentisch), verbirgt aber die Anfrage nicht. Das ist eine andere Technologie (DoH/DoT).

Kann DNSSEC meine Website lahmlegen? Eine fehlerhafte oder abgelaufene Signatur kann Ihre Domain für alle, die einen validierenden Resolver nutzen, unauflösbar machen. Deshalb sind automatisierte Signierung und Schlüsselwechsel wichtig.

Ist DNSSEC kostenlos? Bei den meisten modernen DNS-Anbietern ja – es ist eine Einstellung, kein Kauf.

Prüfen Sie das DNSSEC Ihrer Domain kostenlos

Sehen Sie, ob Ihre Domain signiert, gültig und korrekt verkettet ist – vertraulich und nur für den Eigentümer.

Domain prüfen → · DNSSEC beheben → · Funktioniert verpflichtendes DNSSEC? → · Wie wir bewerten → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.