Defaults.Exposed › Einrichtung › DNSSEC

So richten Sie DNSSEC bei GoDaddy ein

Schalten Sie DNSSEC bei GoDaddy mit einem Schalter ein, damit niemand Ihre DNS-Antworten fälschen und Ihre Domain kapern kann.

Warum das für Ihr Geschäft wichtig ist

Wenn jemand Ihre Website besucht oder Ihnen eine E-Mail schickt, fragt sein Computer zuerst das DNS-System nach der richtigen Adresse. Diese Antworten reisen normalerweise unsigniert, sodass ein Angreifer, der die Abfrage manipulieren kann, Ihre Besucher unbemerkt auf eine gefälschte Seite leiten oder Ihre E-Mails auf seinen eigenen Server umleiten kann — während Ihre echte Domain weiterhin in der Adresszeile steht.

DNSSEC (Domain Name System Security Extensions, die kryptografische Absicherung des DNS) stoppt das. Es signiert Ihre DNS-Antworten kryptografisch, sodass jeder, der Sie nachschlägt, nachweisen kann, dass die Antwort wirklich von Ihnen stammt und unterwegs nicht verändert wurde. Im Klartext: Es blockiert Domain-Hijacking und Cache-Poisoning — die Angriffe, die Ihre eigene Domain gegen Ihre Kunden wenden. Es ist kostenlos und bei GoDaddy meist ein einziger Schalter.

Wie DNSSEC funktioniert (und warum es hier bei GoDaddy einfach ist)

DNSSEC hat zwei Hälften: Der DNS-Host signiert Ihre Einträge und veröffentlicht die Schlüssel (einen DNSKEY) sowie einen kleinen Fingerabdruck namens DS-Eintrag (Delegation Signer), und der Registrar hinterlegt diesen DS-Eintrag in der übergeordneten Zone, damit der Rest des Internets den Signaturen vertrauen kann.

Wenn GoDaddy sowohl Ihr Registrar als auch Ihr DNS-Host ist — was bei den meisten GoDaddy-Domains mit GoDaddy-Nameservern der Fall ist — erledigt GoDaddy beide Hälften für Sie. Sie legen einen Schalter um; GoDaddy erzeugt die Schlüssel und hinterlegt den DS-Eintrag automatisch in der Kette nach oben. Kein Kopieren von Werten zwischen Systemen.

Das eigentliche Risiko — wenn es nicht so einfach ist

DNSSEC kann Ihre Domain offline nehmen, wenn es falsch konfiguriert ist. Die Gefahr entsteht vor allem, wenn Registrar und DNS-Host verschiedene Unternehmen sind oder wenn Sie den DNS-Host wechseln:

• Wenn Ihre Domain bei GoDaddy registriert ist, Ihr DNS aber woanders gehostet wird, greift GoDaddys Ein-Klick-Schalter nicht — Sie müssen die Signierung bei Ihrem tatsächlichen DNS-Host aktivieren und den DS-Eintrag von Hand bei GoDaddy hinzufügen.
• Wenn Sie Ihr DNS jemals von GoDaddy weg verlagern, schalten Sie DNSSEC zuerst aus. Ein zurückgebliebener DS-Eintrag, der zu keinem aktiven Signier-Host mehr passt, lässt Abfragen fehlschlagen und die Domain verdunkeln.

Wenn GoDaddy sowohl Registrar als auch DNS-Host ist, ist der Ein-Klick-Ablauf unten sicher.

Prüfen Sie, ob GoDaddy Ihr DNS betreibt

Das ist nur relevant, wenn GoDaddy tatsächlich das DNS für Ihre Domain beantwortet. Prüfen Sie, ob Ihre Domain GoDaddy-Nameserver verwendet: Öffnen Sie in Ihrem GoDaddy-Konto die Domain und sehen Sie deren Nameserver-Einstellung an. Werden GoDaddys eigene Nameserver angezeigt, ist der Ein-Klick-Schalter der richtige Weg. Zeigen die Nameserver auf einen anderen Anbieter (etwa einen separaten DNS-Host), aktivieren Sie DNSSEC dort und fügen dann den dort erhaltenen DS-Eintrag bei GoDaddy hinzu.

Schritt für Schritt bei GoDaddy (Ein-Klick, GoDaddy ist Registrar und DNS-Host)

1. Melden Sie sich bei Ihrem GoDaddy-Konto an.
2. Gehen Sie zu Meine Produkte (oder Domain-Portfolio).
3. Suchen Sie Ihre Domain und öffnen Sie deren Verwaltungsseite — klicken Sie auf den Domainnamen oder das Drei-Punkte-Menü und wählen Sie DNS verwalten / Domain-Einstellungen.
4. Scrollen Sie zum Abschnitt Zusätzliche Einstellungen (in manchen Konten erscheint er unter DNS-Verwaltung).
5. Suchen Sie DNSSEC und klicken Sie auf Verwalten oder den Schalter.
6. Stellen Sie DNSSEC auf ein.
7. Bestätigen Sie. GoDaddy erzeugt die Schlüssel, signiert Ihre Zone und veröffentlicht den DS-Eintrag für Sie in der Kette nach oben — es gibt nichts woanders zu kopieren.

Schritt für Schritt, wenn Ihr DNS woanders gehostet wird

Wenn GoDaddy nur Ihr Registrar ist und ein anderes Unternehmen Ihr DNS hostet:

1. Aktivieren Sie DNSSEC zuerst bei Ihrem DNS-Host und kopieren Sie den DS-Eintrag, den er erzeugt (Sie benötigen Key Tag, Algorithm, Digest Type und den Digest).
2. Öffnen Sie in GoDaddy die Domain und suchen Sie den Abschnitt DNSSEC unter Zusätzliche Einstellungen.
3. Wählen Sie, einen DS-Eintrag hinzuzufügen, und geben Sie die Werte Ihres DNS-Hosts exakt ein.
4. Speichern Sie. Der DS-Eintrag ist nun in der übergeordneten Zone hinterlegt und vervollständigt die Kette.

GoDaddy-Eigenheiten, die häufig falsch gemacht werden

• Prüfen Sie zuerst, wer Ihr DNS hostet. Der einfache Ein-Klick-Schalter erledigt nur dann die ganze Aufgabe, wenn GoDaddy sowohl Registrar als auch DNS-Host ist. Liegt das DNS woanders, reicht der Schalter allein nicht.
• Schalten Sie es nicht an zwei Stellen ein. Wenn Ihr DNS-Host die Zone bereits signiert, fügen Sie bei GoDaddy nur dessen DS-Eintrag hinzu — Sie legen nicht zusätzlich GoDaddys eigenen Signier-Schalter um, sonst haben Sie zwei konkurrierende Setups.
• Kopieren Sie DS-Werte exakt, wenn Sie sie von Hand eingeben. Ein einziges falsches Zeichen im Digest bricht die Kette und kann die Domain offline nehmen.
• Schalten Sie DNSSEC aus, bevor Sie das DNS verlagern. Der Umzug zu einem neuen DNS-Host mit noch vorhandenem veraltetem DS-Eintrag ist der klassische Weg, eine Domain offline zu nehmen.
• Geben Sie ihm Zeit. Änderungen können von Minuten bis zu einem Tag brauchen, bis sie vollständig verteilt sind.

Prüfen, ob es funktioniert hat

Sobald DNSSEC eingeschaltet ist (und ein etwaiger DS-Eintrag vorhanden ist), führen Sie die kostenlose Prüfung auf dieser Seite aus. Sie sagt Ihnen in klarer Sprache, ob DNSSEC für Ihre Domain korrekt veröffentlicht ist und vertraut wird.

Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.