Defaults.Exposed › Behebungen › DNSSEC

So beheben Sie DNSSEC

DNSSEC ist ein digitales Siegel auf dem Adressbuch Ihrer Domain. Es erlaubt dem Internet zu beweisen, dass die Antwort auf 'wo wohnt diese Domain?' wirklich von Ihnen kam und unterwegs nicht manipuliert wurde. Ohne es kann die Antwort gefälscht werden — und Ihre Besucher werden still woandershin geschickt.

Das Wichtigste für Ihr Unternehmen: Ohne DNSSEC kann ein Angreifer, der eine DNS-Antwort vergiften kann, Ihre Kunden auf eine perfekte Kopie Ihrer Seite lenken, während ihr Browser weiterhin Ihren echten Domainnamen zeigt. Logins, Kartennummern und personenbezogene Daten werden abgegriffen, und Sie erfahren es erst aus den Rückbuchungen und Beschwerden. Ein kaputter, halbfertiger DNSSEC-Aufbau ist noch schlimmer: er kann Ihre Seite für einen wachsenden Teil der Besucher unerreichbar machen, ohne dass ein Fehler auftaucht, den Sie je bemerken würden.

Was Sie das kosten kann

• Besucher, die Ihre echte Domain tippen, werden still auf eine ähnlich aussehende Seite umgeleitet, die ihr Passwort und ihre Kartendaten einfängt — und weil die Adresszeile die ganze Zeit Ihre Domain zeigt, schöpft niemand Verdacht, bis die Betrugsmeldungen eintreffen.
• Ihre E-Mail wird still umgeleitet: ein Angreifer fälscht die Antwort für Ihre Mailserver, liest oder fängt Nachrichten ab und setzt Passwörter auf Konten zurück, die Ihnen einen Code mailen — alles, ohne Ihren Posteingang zu berühren.
• Ein halb konfigurierter DNSSEC-Aufbau (das öffentliche Siegel existiert, aber der passende Schlüssel fehlt) lässt Ihre Website und E-Mail zufällig für Kunden bei großen ISPs und Firmennetzen ausfallen — sporadische 'deine Seite ist bei mir aus'-Meldungen, die Sie nicht reproduzieren können.
• Das Sicherheitsteam eines Interessenten führt eine Vor-Vertragsprüfung durch, sieht kein DNSSEC und stuft Sie als schwach bei den Grundlagen herab — und setzt einen Abschluss wegen einer kostenlosen Einstellung aufs Spiel.
• Behörden und größere B2B-Käufer erwarten DNSSEC zunehmend als Grundlinie (es ist in Vorschriften wie NIS2 benannt); sein Fehlen disqualifiziert Sie still von Ausschreibungen, noch bevor ein Gespräch beginnt.

Warum es wichtig ist. DNS ist das Adressbuch des Internets, und standardmäßig reisen seine Antworten unsigniert — jeder, der eine gefälschte Antwort einschleusen kann, kann Ihre Kunden und Ihre E-Mail überallhin schicken, wobei Ihre echte Domain im Browser stehen bleibt. DNSSEC setzt ein manipulationssicheres Siegel auf diese Antworten, sodass sie als echt von Ihnen verifiziert werden können. Die Behebung ist bei den meisten Anbietern kostenlos; der einzige reale Preis ist, sie falsch zu machen, weshalb wir beide Hälften sorgfältig durchgehen.

DNSSEC, in einfachen Worten

Jedes Mal, wenn jemand Ihre Website besucht oder Ihnen eine E-Mail sendet, stellt sein Computer dem Internet zuerst eine einfache Frage: “wo wohnt diese Domain eigentlich?” Die Antwort — der Satz an Adressen für Ihre Seite und Ihre Mailserver — kommt aus dem DNS, dem Adressbuch des Internets.

Hier der unangenehme Teil: standardmäßig reisen diese Antworten unsigniert. Nichts ist angeheftet, das beweist, dass die Antwort echt ist. Kann jemand eine gefälschte Antwort in dieses Gespräch einschleusen — und es gibt bekannte, erwiesene Wege, genau das zu tun —, akzeptiert der Computer Ihres Besuchers sie bereitwillig. Von dem Moment an kann der Besucher mit dem Server eines Angreifers sprechen, während sein Browser weiterhin Ihren Domainnamen in der Adresszeile zeigt.

DNSSEC ist die Behebung. Es fügt Ihren DNS-Antworten ein manipulationssicheres digitales Siegel hinzu. Ist DNSSEC eingeschaltet, kann das Internet mathematisch verifizieren, dass eine Antwort wirklich von Ihnen kam und unterwegs nicht verändert wurde. Eine gefälschte Antwort fällt durch die Prüfung und wird verworfen. Es ist der Unterschied zwischen einem Adressbuch, in das jeder kritzeln kann, und einem, in dem jeder Eintrag signiert und bezeugt ist.

Diese Seite deckt die zwei Teile ab, die unsere Prüfung gemeinsam betrachtet: ob das Siegel veröffentlicht ist (der DS-Eintrag) und ob der passende Schlüssel dahinter tatsächlich existiert (der DNSKEY-Eintrag). Sie werden gleich sehen, warum beide wichtig sind — denn eines ohne das andere zu haben ist seine eigene Art Ärger.

Was Sie das kosten kann

Dies sind realistische, aggregierte Muster — kein einzelnes benanntes Unternehmen.

• Die unsichtbare Umleitung. Ein Angreifer vergiftet die DNS-Antwort für Ihre Domain. Kunden tippen Ihre echte Webadresse, sehen Ihre echte Domain in der Zeile und landen auf einer makellosen Kopie Ihrer Login- oder Checkout-Seite, gehostet vom Angreifer. Jedes Passwort und jede Kartennummer, die sie eingeben, geht direkt zum Kriminellen. Sie erfahren davon erst, wenn die Rückbuchungen und “ich wurde über deine Seite gehackt”-Anrufe beginnen — und die Spur führt zu Ihrer Marke, nicht zu der des Angreifers.
• Stilles E-Mail-Abfangen. DNS verweist nicht nur auf Ihre Website; es verweist auf Ihre Mailserver. Fälschen Sie diese Antwort, und eingehende E-Mail kann zuerst über einen Angreifer umgeleitet werden. Er liest sensible Nachrichten, greift die Einmal-Codes ab, die Dienste mailen, um “zu prüfen, dass du es bist”, und setzt Passwörter auf Konten zurück, die an Ihre Domain gebunden sind — ohne sich je in Ihr Postfach einzuloggen.
• Der Ausfall, den Sie nicht reproduzieren können. Dieser kommt von einem halbfertigen DNSSEC-Aufbau. Das öffentliche Siegel (DS) sitzt bei Ihrem Registrar, aber der passende Schlüssel (DNSKEY) fehlt oder ist falsch. Besucher bei ISPs und Firmennetzen, die DNSSEC prüfen — und es werden jedes Jahr mehr — können Ihre Domain schlicht gar nicht auflösen. Ihre Seite und E-Mail funktionieren bei Ihnen und Ihrer Technik einwandfrei, aber ein Teil echter Kunden bekommt “diese Seite ist nicht erreichbar” ohne einen Fehler, den Sie sehen können. Es ist eines der am schwersten zu diagnostizierenden Probleme, gerade weil es von innen unsichtbar ist.
• Der verlorene Abschluss. Das Sicherheits- oder Einkaufsteam eines Interessenten führt einen routinemäßigen Vor-Vertragsscan Ihrer Domain durch. Kein DNSSEC erscheint als roter Punkt bei den “DNS-Sicherheitsgrundlagen”. Für eine kostenlose, gut verstandene Kontrolle liest sich ihr Fehlen als Nachlässigkeit — und kann Sie still einen Vertrag kosten, von dessen Gefährdung Sie nie wussten.
• Die Ausschreibung, für die Sie nicht einmal qualifizieren. Vorschriften und Käufer-Checklisten benennen DNSSEC zunehmend als erwartete Grundhygiene (es wird unter den DNS-Sicherheitsbestimmungen von NIS2 referenziert). Größere B2B- und öffentliche Käufer filtern Sie womöglich aus, bevor ein Verkaufsgespräch beginnt, schlicht weil das Kästchen nicht angekreuzt ist.

Was es tatsächlich ist

DNSSEC funktioniert als Vertrauenskette und hat zwei bewegliche Teile, die miteinander übereinstimmen müssen. Das ist der Kern, warum unsere Prüfung zwei Dinge betrachtet.

Der DNSKEY — Ihr Schlüssel. Ihr DNS-Anbieter hält einen kryptografischen Schlüssel und nutzt ihn, um Ihre DNS-Einträge zu signieren. Die öffentliche Hälfte dieses Schlüssels wird als DNSKEY-Eintrag veröffentlicht. Stellen Sie es sich als den Siegelstempel an Ihrem Ende vor.

Der DS-Eintrag — der Fingerabdruck, der für den Schlüssel bürgt. Ein kurzer Fingerabdruck dieses Schlüssels, ein DS-Eintrag (Delegation Signer), wird eine Ebene höher veröffentlicht — bei der Registry Ihrer Domain, über Ihren Registrar. Das ist, was dem Rest des Internets erlaubt, Ihrem Schlüssel zu vertrauen: jede Ebene bürgt für die darunter, bis hinauf zur Wurzel des Internets. Der DS ist das offiziell registrierte Siegel, sodass alle anderen es erkennen können.

Damit DNSSEC Sie tatsächlich schützt, müssen beide vorhanden sein und übereinstimmen:

• DS vorhanden + DNSKEY vorhanden und übereinstimmend → gut. Die Vertrauenskette ist vollständig. Gefälschte Antworten werden abgewiesen; legitime verifizieren. Das ist der “bestanden”-Zustand.
• Kein DS (und kein DNSKEY) → DNSSEC ist schlicht nicht an. Sie haben keinen Schutz, aber nichts ist kaputt. Das ist der häufigste “noch nicht erledigt”-Zustand. (In unserer Bewertung zählt das hier gegen Sie bei der DS-Prüfung; die kombinierte Schlüsselprüfung behandelt einen sauberen, voll “aus”-Zustand als informativ statt als harten Fehlschlag, weil nichts aktiv kaputtgeht.)
• DS vorhanden, aber DNSKEY fehlend oder nicht übereinstimmend → kaputt, und schlimmer als aus. Das Internet sieht ein veröffentlichtes Siegel, das auf einen Schlüssel zeigt, der nicht da ist. Validierende Resolver schließen, dass Ihre Domain manipuliert wurde, und verweigern die Auflösung — was die oben beschriebenen sporadischen Ausfälle verursacht. Das ist der dringlichste Zustand zum Beheben, und unsere Prüfung markiert ihn als hoch.
• DNSKEY vorhanden, aber kein DS beim Registrar → eingeschaltet, aber nicht aktiviert. Ihre Einträge sind signiert, aber weil der Fingerabdruck nie eine Ebene höher registriert wurde, hat der Rest des Internets keine Möglichkeit, ihnen zu vertrauen. Sie bekommen die Arbeit ohne den Schutz. Die Behebung ist, den DS-Eintrag bei Ihrem Registrar hinzuzufügen.

Wie “gut” aussieht, in einer Zeile: ein DS-Eintrag bei Ihrem Registrar, dessen Fingerabdruck zu einem lebenden DNSKEY bei Ihrem DNS-Anbieter passt, beide mit einer schnellen Abfrage bestätigt.

So beheben Sie es (kostenlos, ~10–30 Minuten)

Geben Sie diesen Abschnitt an die Person weiter, die Ihre Domain oder Website verwaltet. Die Behebung selbst ist bei den meisten Anbietern kostenlos — der einzige Preis ist, sie sorgfältig zu machen, damit die zwei Hälften synchron bleiben. Wir berechnen nur etwas, wenn Sie später möchten, dass wir überwachen, dass es korrekt aktiviert bleibt.

Die goldene Regel: erst Signierung aktivieren (was den DNSKEY erzeugt), dann den DS-Eintrag beim Registrar veröffentlichen — nie umgekehrt und nie eines ohne das andere. Einen DS zu veröffentlichen, bevor der Schlüssel existiert, ist genau das, was Ausfälle verursacht.

Der einfache Weg (empfohlen — Cloudflare):

1. Stellen Sie in Cloudflare sicher, dass Cloudflare tatsächlich Ihr DNS betreibt (Ihre Nameserver zeigen auf Cloudflare).
2. Gehen Sie zu DNS → Settings → DNSSEC → Enable DNSSEC. Cloudflare erzeugt und verwaltet die Schlüssel für Sie (dies erstellt automatisch die DNSKEY-Seite).
3. Cloudflare zeigt Ihnen die DS-Eintrags-Details zur Veröffentlichung bei Ihrem Registrar.
4. Melden Sie sich bei Ihrem Domain-Registrar an (z. B. GoDaddy, Namecheap, OVH) und finden Sie den DNSSEC-Bereich. Fügen Sie die DS-Werte ein, die Cloudflare Ihnen gab.
5. Warten Sie 24–48 Stunden auf die volle Verbreitung. Ihre Seite und E-Mail funktionieren durchgehend weiter.

Andere DNS-Anbieter (AWS Route 53, Ihr Webhost usw.):

1. Aktivieren Sie im Kontrollpanel Ihres DNS-Anbieters DNSSEC / “diese Zone signieren”. Das erzeugt die Signierschlüssel und veröffentlicht die DNSKEY-Einträge.
2. Kopieren Sie den DS-Eintrag, den der Anbieter erzeugt.
3. Fügen Sie diesen DS-Eintrag bei Ihrem Registrar unter dessen DNSSEC-Einstellungen hinzu.
4. Bestätigen Sie, dass der Registrar ihn akzeptiert hat, und warten Sie auf die Verbreitung.

Plattform-Hinweise:

• Cloudflare — Ein-Klick-Aktivieren, dann ein DS-Einfügen beim Registrar. Der mit Abstand einfachste Weg.
• AWS Route 53 — aktivieren Sie DNSSEC-Signierung auf der gehosteten Zone, fügen Sie dann den DS-Eintrag beim Registrar Ihrer Domain hinzu (ist die Domain bei Route 53 registriert, kann AWS es für Sie verknüpfen).
• Microsoft 365 / Google Workspace — diese betreiben Ihre E-Mail, meist nicht Ihre DNS-Zone. DNSSEC wird dort aktiviert, wo Ihre DNS-Einträge tatsächlich liegen (oft Ihr Registrar, Host oder Cloudflare), nicht im 365-/Workspace-Admin-Center.
• Ihr DNS-Anbieter unterstützt DNSSEC gar nicht? Das ist bei älteren oder Budget-Hosts häufig. Die saubere Behebung ist, die DNS-Verwaltung zu einem Anbieter zu verlegen, der es tut (Cloudflare ist kostenlos), und dann dem einfachen Weg oben zu folgen. DNS zu verlegen erfordert nicht, Ihre Website oder E-Mail zu verlegen.

Prüfen, ob es geklappt hat:

• Führen Sie dig DS ihredomain.com und dig DNSKEY ihredomain.com aus — beide sollten Einträge zurückgeben.
• Oder nutzen Sie ein beliebiges kostenloses Online-DNSSEC-Prüfwerkzeug und bestätigen Sie eine grüne/gültige Vertrauenskette.
• Betrachten Sie es nicht als erledigt, bis beide übereinstimmende Einträge zurückgeben. Ein DS ohne DNSKEY ist der kaputte Zustand — beheben oder entfernen Sie ihn sofort.

Häufige Fehler

• Den DS veröffentlichen, bevor der Schlüssel existiert. Der einzige schädlichste Fehler: den DS-Eintrag beim Registrar hinzufügen, bevor die Signierung beim DNS-Anbieter tatsächlich aktiv ist. Das erzeugt den “veröffentlichtes Siegel, fehlender Schlüssel”-Zustand, der Ihre Domain für DNSSEC-prüfende Besucher unauflösbar macht. Aktivieren Sie immer erst die Signierung, dann veröffentlichen Sie DS.
• Einen veralteten DS nach Anbieterwechsel zurücklassen. Migrieren Sie DNS-Anbieter (oder deaktivieren die Signierung), vergessen aber, den alten DS-Eintrag beim Registrar zu entfernen oder zu aktualisieren, zeigen Sie auf einen Schlüssel, der nicht mehr existiert — dasselbe kaputte Ergebnis. Wenn Sie DNSSEC ausschalten oder verlegen, aktualisieren Sie den DS beim Registrar in derselben Änderung.
• Nach Schritt eins aufhören. Die Signierung beim DNS-Anbieter aktivieren (den DNSKEY erzeugen), aber nie den DS beim Registrar hinzufügen. Im DNS-Dashboard sieht alles “an” aus, aber ohne DS aktiviert sich der Schutz nie. Sie haben die Arbeit gemacht und keinen Nutzen davon.
• Annehmen, HTTPS oder E-Mail-Authentifizierung decke es schon ab. Das Schloss und die E-Mail-Authentifizierung (SPF / DKIM / DMARC) sind wertvoll, lösen aber andere Probleme. Keines davon hindert eine gefälschte DNS-Antwort daran, Besucher von vornherein an den falschen Ort zu schicken.
• Nach dem Aktivieren nicht überwachen. Schlüssel werden gewechselt, Anbieter ändern sich, Einträge werden bearbeitet. Ein heute perfekter Aufbau kann Monate später still kaputtgehen. Ist DNSSEC wichtig genug zum Aktivieren, ist es eine periodische Prüfung wert, dass es noch gültig ist.

Wo das in Ihrer Note steht

Beide dieser Prüfungen zählen zu Ihrer DNS-Sicherheitsbewertung. Die DS-Eintrags-Prüfung wird als die höher priorisierte der beiden behandelt: ein fehlender DS ist eine echte Lücke und wird als Fehlschlag bewertet. Die DNSKEY-Prüfung bestätigt, dass der Rest der Kette intakt ist — sie besteht nur, wenn ein passender DS und DNSKEY beide vorhanden sind, und sie markiert den gefährlichen “DS-ohne-Schlüssel”-kaputt-Zustand als hoch. Ein sauberes “DNSSEC ist schlicht noch nicht aktiviert”-Ergebnis ist für viele Unternehmen der häufige Ausgangspunkt; von dort zu einem vollständigen, übereinstimmenden DS-+-DNSKEY-Paar zu gelangen ist ein kostenloses, gut verstandenes Upgrade, das Ihre DNS-Sicherheitsstellung verbessert und einen echten Weg für Imitation und Abfangen beseitigt.

Richten Sie es bei Ihrem Anbieter ein

Schritt für Schritt für gängige Anbieter:

• DNSSEC bei GoDaddy einrichten
• DNSSEC bei Namecheap einrichten
• DNSSEC bei Cloudflare einrichten
• DNSSEC bei AWS Route 53 einrichten

FAQ