Defaults.Exposed › Einrichtung › DNSSEC

So richten Sie DNSSEC bei Namecheap ein

Aktivieren Sie DNSSEC bei Namecheap, damit niemand Ihre DNS-Antworten fälschen und Ihre Besucher oder E-Mails umleiten kann.

Warum das für Ihr Geschäft wichtig ist

Jedes Mal, wenn jemand Ihre Website öffnet oder Ihnen schreibt, fragt sein Computer das DNS-System, wo er Sie findet. Diese Antworten reisen meist unsigniert, sodass ein Angreifer, der die Abfrage stören kann, Ihre Besucher unbemerkt auf eine gefälschte Seite leiten oder Ihre E-Mails auf seinen eigenen Server umleiten kann — und das, während Ihre echte Domain weiterhin in der Adresszeile erscheint.

DNSSEC (Domain Name System Security Extensions, die kryptografische Absicherung des DNS) schließt diese Tür. Es signiert Ihre DNS-Antworten kryptografisch, sodass jeder, der Sie nachschlägt, bestätigen kann, dass die Antwort wirklich von Ihnen stammt und unterwegs nicht manipuliert wurde. Im Klartext: Es verhindert Domain-Hijacking und Cache-Poisoning — die Angriffe, die Ihre eigene Domain gegen Ihre Kunden in Stellung bringen. Es ist kostenlos, und wenn Namecheap Ihr DNS betreibt, ist es nahezu ein Klick.

Wie DNSSEC funktioniert (und warum es bei Namecheap einfach sein kann)

DNSSEC hat zwei Hälften: Der DNS-Host signiert Ihre Einträge und veröffentlicht die Schlüssel (einen DNSKEY) sowie einen kleinen Fingerabdruck namens DS-Eintrag (Delegation Signer), und der Registrar hinterlegt diesen DS-Eintrag in der übergeordneten Zone, damit der Rest des Internets den Signaturen vertraut.

Wenn Namecheap sowohl Ihr Registrar als auch Ihr DNS-Host ist — das heißt, Ihre Domain verwendet Namecheap BasicDNS / PremiumDNS — erledigt Namecheap beide Hälften mit einem einzigen Schalter. Es signiert die Zone und veröffentlicht den DS-Eintrag für Sie in der Kette nach oben. Wird Ihr DNS woanders gehostet, kopieren Sie stattdessen den DS-Eintrag von diesem Host von Hand bei Namecheap hinein.

Das eigentliche Risiko — gehen Sie der Reihe nach vor

DNSSEC kann Ihre Domain offline nehmen, wenn es falsch eingerichtet ist. Die zwei Wege dorthin:

• Ein beim Registrar hinterlegter DS-Eintrag, der nicht zu dem passt, womit der DNS-Host tatsächlich signiert.
• Das Verlagern Ihres DNS zu einem anderen Host (oder das Abschalten der Signierung) ohne vorheriges Entfernen des DS-Eintrags — der veraltete DS-Eintrag verlangt weiterhin Signaturen, die es nicht mehr gibt, und Abfragen schlagen fehl.

Also: Wenn Sie das DNS jemals von Namecheap weg oder von Namecheaps Nameservern weg verlagern, schalten Sie DNSSEC zuerst aus und löschen den DS-Eintrag, dann verlagern Sie. Folgen Sie dem Ablauf unten der Reihe nach, dann sind Sie sicher.

Prüfen Sie, ob Namecheap Ihr DNS betreibt

Prüfen Sie, was das DNS für Ihre Domain beantwortet. Öffnen Sie in Ihrem Namecheap-Konto die Domain und sehen Sie die Nameservers-Einstellung auf dem Reiter Domain an:

• Ist sie auf Namecheap BasicDNS oder Namecheap Web Hosting DNS / PremiumDNS gesetzt, hostet Namecheap Ihr DNS — verwenden Sie den Ein-Klick-Ablauf.
• Zeigt sie Custom DNS mit Verweis auf einen anderen Anbieter, hostet dieser Anbieter Ihr DNS — aktivieren Sie DNSSEC dort zuerst und fügen dann den dort erhaltenen DS-Eintrag bei Namecheap hinzu.

Schritt für Schritt bei Namecheap (Namecheap ist Registrar und DNS-Host)

1. Melden Sie sich bei Namecheap an.
2. Gehen Sie zur Domain List und klicken Sie neben Ihrer Domain auf Manage.
3. Öffnen Sie den Reiter Advanced DNS.
4. Scrollen Sie zum Abschnitt DNSSEC.
5. Stellen Sie DNSSEC auf ein.
6. Bestätigen Sie. Mit Namecheaps eigenem DNS signiert Namecheap die Zone und veröffentlicht den DS-Eintrag für Sie in der Kette nach oben — es gibt nichts woanders zu kopieren.

Schritt für Schritt, wenn Ihr DNS woanders gehostet wird

Wenn Namecheap Ihr Registrar ist, aber ein anderes Unternehmen Ihr DNS hostet:

1. Aktivieren Sie DNSSEC zuerst bei Ihrem DNS-Host und kopieren Sie die DS-Eintrag-Werte, die er erzeugt — typischerweise Key Tag, Algorithm, Digest Type und den Digest.
2. Öffnen Sie in Namecheap die Domain und gehen Sie zum Reiter Advanced DNS, dann zum Abschnitt DNSSEC.
3. Fügen Sie einen DS-Eintrag hinzu und geben Sie die Werte Ihres DNS-Hosts exakt in die passenden Felder ein.
4. Speichern Sie. Der DS-Eintrag ist nun in der übergeordneten Zone hinterlegt und vervollständigt die Vertrauenskette.

Namecheap-Eigenheiten, die häufig falsch gemacht werden

• Der Schalter erledigt nur dann alles, wenn Namecheap auch Ihr DNS hostet. Bei Custom DNS reicht das Umlegen allein nicht — Sie müssen den DS-Eintrag Ihres tatsächlichen DNS-Hosts einfügen.
• Nicht doppelt signieren. Wenn Ihr externer DNS-Host die Zone bereits signiert, geben Sie bei Namecheap nur dessen DS-Eintrag ein — Sie aktivieren nicht zusätzlich Namecheaps eigene Signierung.
• Kopieren Sie DS-Werte zeichengenau. Eine einzige falsche Ziffer im Digest bedeutet, dass der DS nicht zu den Signaturen passt, was genau das ist, was eine Domain offline nimmt. Einfügen, nie abtippen.
• Gleichen Sie die Algorithm- und Digest-Type-Nummern mit dem ab, was Ihr DNS-Host meldet — nicht raten.
• Schalten Sie DNSSEC aus, bevor Sie die Nameserver ändern. Ein Wechsel des DNS-Hosts mit noch vorhandenem veraltetem DS-Eintrag ist der klassische Weg, eine Domain offline zu nehmen.
• Geben Sie ihm Zeit. Änderungen können von Minuten bis zu einem Tag brauchen, bis sie vollständig verteilt sind.

Prüfen, ob es funktioniert hat

Sobald DNSSEC eingeschaltet ist (und ein etwaiger DS-Eintrag vorhanden ist), führen Sie die kostenlose Prüfung auf dieser Seite aus. Sie sagt Ihnen in klarer Sprache, ob DNSSEC für Ihre Domain korrekt veröffentlicht ist und vertraut wird.

Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.