Defaults.Exposed › Einrichtung › DNSSEC

So richten Sie DNSSEC bei Cloudflare ein

Schalten Sie DNSSEC bei Cloudflare ein und hinterlegen Sie den DS-Eintrag bei Ihrem Registrar, damit niemand Ihre DNS-Antworten fälschen kann.

Warum das für Ihr Geschäft wichtig ist

Wenn jemand Ihre Domain eingibt oder Ihnen eine E-Mail schickt, fragt sein Computer das DNS-System nach der richtigen Adresse. Normalerweise reisen diese Antworten unsigniert, was bedeutet, dass ein Angreifer, der sie manipulieren kann, Ihre Besucher unbemerkt auf eine gefälschte Website leiten oder Ihre E-Mails auf seinen eigenen Server umleiten kann. Ihre Kunden sehen die ganze Zeit Ihre echte Domain in der Adresszeile.

DNSSEC (Domain Name System Security Extensions, die kryptografische Absicherung des DNS) schließt diese Lücke. Es signiert Ihre DNS-Antworten kryptografisch, sodass derjenige, der Sie nachschlägt, nachweisen kann, dass die Antwort wirklich von Ihnen stammt und unterwegs nicht verändert wurde. Im Klartext: Es hindert Kriminelle daran, Ihre Domain zu kapern oder die Abfragen zu vergiften, die Menschen zu Ihnen führen. Es ist kostenlos und einer der stärksten Schutzmechanismen, die Sie für das Fundament einschalten können, auf dem alles andere ruht.

Wie DNSSEC tatsächlich funktioniert (damit die Schritte Sinn ergeben)

DNSSEC hat zwei Hälften, die an zwei Orten leben:

• Ihr DNS-Host (Cloudflare) signiert Ihre Einträge und veröffentlicht die öffentlichen Schlüssel (einen DNSKEY) sowie einen kleinen Fingerabdruck davon namens DS-Eintrag (Delegation Signer).
• Ihr Registrar (wo Sie die Domain gekauft haben und verlängern) veröffentlicht diesen DS-Eintrag hinauf in die übergeordnete Zone (zum Beispiel .com).

Der DS-Eintrag beim Registrar ist das Glied in der Vertrauenskette. Cloudflare kann den ganzen Tag signieren, aber bis der passende DS-Eintrag beim Registrar hinterlegt ist, hat das weitere Internet keine signierte Möglichkeit, diesen Signaturen zu vertrauen. Die Aufgabe besteht also aus zwei Schritten: bei Cloudflare einschalten, dann den DS-Eintrag an Ihren Registrar übergeben.

Das eigentliche Risiko — gehen Sie sorgfältig vor

DNSSEC kann Ihre ganze Domain offline nehmen, wenn es falsch gemacht wird. Die zwei Wege dorthin:

• Das Veröffentlichen eines DS-Eintrags beim Registrar, der nicht zu dem passt, womit Ihr DNS-Host tatsächlich signiert.
• Das Verlagern Ihres DNS zu einem anderen Host (oder das Ausschalten von Cloudflare) ohne vorheriges Entfernen des DS-Eintrags beim Registrar — der alte DS-Eintrag verlangt weiterhin Signaturen, die es nicht mehr gibt, und Abfragen beginnen fehlzuschlagen.

Keines ist gefährlich, wenn Sie dem Ablauf unten der Reihe nach folgen und den DS-Eintrag beim Registrar niemals löschen, solange Cloudflare noch Ihr Signier-Host ist. Wenn Sie jemals planen, von Cloudflare wegzuziehen, deaktivieren Sie DNSSEC und entfernen den DS-Eintrag beim Registrar zuerst, dann ziehen Sie um.

Prüfen Sie, ob Cloudflare Ihr DNS betreibt

Das funktioniert nur, wenn Cloudflare das DNS für Ihre Domain beantwortet. Cloudflare ist Ihr DNS-Host, nicht unbedingt das Unternehmen, bei dem Sie die Domain gekauft haben. Cloudflares DNS ist nur aktiv, wenn die Nameserver Ihrer Domain auf die im Dashboard angezeigten Cloudflare-Nameserver zeigen. Öffnen Sie Ihre Domain in Cloudflare und prüfen Sie auf der Seite Overview, ob Cloudflare aktiv ist. Zeigen Ihre Nameserver woanders hin, aktivieren Sie DNSSEC bei dem Anbieter, der Ihr DNS betreibt.

Schritt für Schritt bei Cloudflare

1. Melden Sie sich bei Cloudflare an und wählen Sie Ihre Domain.
2. Gehen Sie im linken Menü zu DNS, dann Settings (ältere Dashboards zeigen einen DNSSEC-Abschnitt direkt unter DNS).
3. Suchen Sie DNSSEC und klicken Sie auf Enable DNSSEC.
4. Cloudflare zeigt ein Feld mit Werten an — der wichtige ist der DS-Eintrag. Sie sehen typischerweise Felder wie Key Tag, Algorithm, Digest Type, Digest sowie einen fertigen einzeiligen DS-Eintrag. Lassen Sie dieses Fenster offen; Sie müssen diese Werte zu Ihrem Registrar kopieren.
5. Melden Sie sich nun bei Ihrem Registrar an (dem Unternehmen, bei dem Sie die Domain verlängern — das kann Cloudflare sein oder auch nicht).
6. Suchen Sie beim Registrar den DNSSEC- oder DS-Eintrag-Abschnitt für Ihre Domain und fügen Sie einen neuen DS-Eintrag mit genau den Werten hinzu, die Cloudflare Ihnen gegeben hat:
   • Key Tag — die Zahl, die Cloudflare anzeigt.
   • Algorithm — meist 13 (ECDSA P-256 SHA-256).
   • Digest Type — meist 2 (SHA-256).
   • Digest — die lange hexadezimale Zeichenkette, exakt kopiert.
7. Speichern Sie beim Registrar. Wenn Ihr Registrar es erlaubt, eine einzelne kombinierte DS-Eintrag-Zeile statt getrennter Felder einzufügen, verwenden Sie die vollständige DS-Zeile, die Cloudflare angezeigt hat.
8. Zurück in Cloudflare: Sobald der Registrar den DS-Eintrag akzeptiert hat, wechselt Cloudflares DNSSEC-Status auf active (das kann ein wenig dauern, bis es bestätigt ist).

Cloudflare-Eigenheiten, die häufig falsch gemacht werden

• Zwei Systeme, nicht eines. DNSSEC allein bei Cloudflare zu aktivieren, bewirkt für sich nichts — der DS-Eintrag muss auch beim Registrar hinterlegt werden. Manche hören nach Schritt 3 auf und wundern sich, warum es nie aktiv wird.
• Kopieren Sie den Digest exakt. Ein einziges falsches oder fehlendes Zeichen im Digest bedeutet, dass der DS-Eintrag des Registrars nicht zu Cloudflares Signaturen passt — genau die Fehlkonfiguration, die eine Domain offline nimmt. Kopieren und einfügen; niemals abtippen.
• Gleichen Sie die Algorithm- und Digest-Type-Nummern ab. Wenn Ihr Registrar diese getrennt abfragt, verwenden Sie die Werte, die Cloudflare anzeigt — nicht raten.
• Wenn Cloudflare auch Ihr Registrar ist, wird der DS-Schritt intern erledigt und Sie sehen womöglich kein separates Registrar-Formular — bestätigen Sie aber, dass DNSSEC als aktiv angezeigt wird, bevor Sie es als erledigt betrachten.
• Entfernen Sie den DS-Eintrag niemals, solange Cloudflare noch signiert. Und wenn Sie das DNS jemals von Cloudflare weg migrieren, deaktivieren Sie DNSSEC und löschen den DS-Eintrag beim Registrar vor dem Umzug.
• Geben Sie ihm Zeit. DNSSEC-Änderungen können von einigen Minuten bis zu einem Tag brauchen, bis sie vollständig verteilt sind und als aktiv angezeigt werden.

Prüfen, ob es funktioniert hat

Sobald DNSSEC in Cloudflare als aktiv angezeigt wird und der DS-Eintrag beim Registrar vorhanden ist, führen Sie die kostenlose Prüfung auf dieser Seite aus. Sie sagt Ihnen in klarer Sprache, ob DNSSEC für Ihre Domain korrekt veröffentlicht ist und vertraut wird.

Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.