dnssec-not-enabled
DNSSEC nicht aktiviert
DNSSEC signiert DNS-Antworten kryptografisch, sodass Angreifer Besucher und E-Mails nicht umleiten können. Wie DNSSEC funktioniert und wie es aktiviert wird.
Worum es geht
Tippt jemand ihre-domain.de in den Browser, fragt das Gerät das
Internet “welche Server-Adresse gehört zu diesem Namen?”. Die
Antwort kommt aus dem DNS, dem weltweiten Telefonbuch der
Domainnamen. Standardmäßig ist diese Antwort nicht signiert: wer die
Anfrage abfängt oder einen Telefonbuch-Eintrag manipulieren kann,
kann eine falsche Antwort liefern, und das Gerät vertraut ihr.
DNSSEC ist das kryptographische Siegel, das DNS-Antworten manipulationssicher macht. Mit aktivem DNSSEC ist jede Antwort signiert und vom Empfänger-Gerät überprüfbar. Stimmt die Signatur nicht, wird die Antwort verworfen.
Warum das wichtig ist
DNSSEC schützt eine Schicht, die die meisten nicht sehen, die aber hohe Auswirkung hat, wenn etwas schiefgeht. Dasselbe DNS, das Besucher zu Ihrer Webseite leitet, sagt nämlich auch:
- Mailservern, wohin Ihre E-Mail zugestellt werden soll.
- Anderen Servern, welche IP-Adressen in Ihrem Namen Mail versenden dürfen (Ihr SPF-Eintrag).
- Zertifizierungsstellen, ob sie HTTPS-Zertifikate für Ihre Domain ausstellen dürfen (Ihr CAA-Eintrag, siehe CAA-Artikel).
Schon ein kurzer DNS-Angriff auf eines dieser Felder, selbst auf ein einzelnes Netz beschränkt, kann erhebliche Folgen haben: E-Mails Ihrer Kund:innen werden über den Angreifer umgeleitet, ein gefälschtes HTTPS-Zertifikat für Ihre Domain wird ausgestellt oder Ihre Kund:innen landen auf einem Phishing-Klon.
Wir bewerten den Befund als niedrig, weil realistische Angriffe eine privilegierte Netz-Position voraussetzen. Beheben lohnt sich trotzdem; bei den meisten Managed-DNS-Anbietern ist es ein Schalter zum Nulltarif.
So beheben Sie das
DNSSEC ist meist genau das: ein Schalter. Zwei Bausteine müssen zusammenpassen:
-
Zone bei Ihrem DNS-Anbieter signieren. Cloudflare, AWS Route 53, Google Cloud DNS und die meisten deutschen Hoster (IONOS, STRATO, Netcup, InterNetX) bieten dafür einen Ein-Klick-Schalter im Panel.
-
Registrar informieren. Nach dem Signieren liefert Ihr DNS-Anbieter einen kleinen Textbaustein (“DS-Record”). Diesen tragen Sie in den Einstellungen Ihres Domain-Registrars ein, also bei dem Unternehmen, bei dem Sie die Domain gekauft haben. Der Registrar reicht ihn an die Top-Level-Domain (
.de,.cometc.) durch und schließt damit die Vertrauenskette.
Innerhalb einer Stunde ist Ihre Domain Ende-zu-Ende signiert. Der unten verlinkte Checker bestätigt es.
Hinweis zum Registrar: nicht jeder unterstützt DS-Records für jede
Top-Level-Domain. Falls Ihrer es nicht tut, ist eventuell ein
Wechsel sinnvoll. Für .de-Domains beherrschen praktisch alle
deutschen Registrare DNSSEC sauber.
Mehr dazu
- DNSViz: visualisiert die DNSSEC-Kette einer beliebigen Domain; gut zur Setup-Bestätigung.
- Cloudflare-DNSSEC-Erklärung: gut lesbar, mit Diagrammen.
- RFC 4033 — DNSSEC-Einführung