Artikel über: Routing

Wie kann ich DNSSEC aktivieren?

Wie kann ich DNSSEC aktivieren?



Hier findest du eine Anleitung, um DNSSEC bei ELITEDOMAINS automatisch zu nutzen oder manuell zu aktivieren. Mit DNSSEC kannst du deine Domains signieren und es damit DNS-Clients ermöglichen, Nameserver zu verifizieren und vertrauensvoll abzufragen.

Was ist DNSSEC?
Wird die Verwendung von DNSSEC empfohlen?
Automatisches DNSSEC bei ELITEDOMAINS
Aktivierung von DNSSEC bei externen Nameserver
Wie kann ich die DNSSEC-Einstellungen überprüfen?

1) Was ist DNSSEC?


DNSSEC ist die Abkürzung für Domain Name System Security Extensions. DNSSEC sind mehrere spezifizierte Internetstandards zur Sicherstellung der Authentizität und Integrität der übertragenen Informationen im Domain Name System (DNS). Somit lassen sich mit DNSSEC die Nameserverabfragen zu einer Domain verifizieren und damit die Korrektheit des Traffics des Absenders überprüfen.

Wenn du mehr über DNSSEC erfahren möchtest, empfehlen wir folgende Artikel:
https://www.denic.de/wissen/dnssec/
https://www.denic.de/fragen-antworten/faqs-zu-dnssec/
https://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
https://www.cloudflare.com/de-de/dns/dnssec/how-dnssec-works/

2) Wird die Verwendung von DNSSEC empfohlen?


Die Nutzung von DNSSEC ist zwar nicht zwingend für eine Domain erforderlich, aber Internet-Infrastruktur-Teilnehmer raten prinzipiell dazu. Beispielsweise empfiehlt das Bundesamt für Sicherheit in der Informationstechnik in seiner Empfehlung für Internet-Service-Provider die generelle Bereitstellung und Verwendung von DNSSEC für Domains.

3) Automatisches DNSSEC bei ELITEDOMAINS


Im Redirector von ELITEDOMAINS wird DNSSEC in aller Regel automatisch im Hintergrund aktiviert. Du musst also gar nichts machen. Nur wenn du externe Nameserver verwenden möchtest, ist eine zusätzliche Einrichtung von DNSSEC erforderlich. Folgende Formen werden von ELITEDOMAINS automatisch mit DNSSEC bei der DENIC signiert:

Landing: Bei der Verwendung der Seiten "Landing" und "Whitescreen" werden Domains automatisch durch die DENIC-Nameserver signiert.
4Sale: Bei allen unseren 4-Sale-Pages werden Domains automatisch durch die DENIC-Nameserver signiert.
DNS: Bei der Verwendung unserer Nameserver werden alle Domains automatisch durch die ELITEDOMAINS-Nameserver signiert.
Denic (NSentry): Bei der direkten Verwendung der Nameserver der DENIC werden Domains automatisch durch die DENIC-Nameserver signiert.
URL (Weiterleitung): Bei allen Weiterleitungsarten werden die Domains automatisch durch die DENIC-Nameserver signiert.

4) Aktivierung von DNSSEC bei externen Nameserver


Im Redirector gibt es für externe Nameserver die Option DNSSEC Aktivieren. Sofern du diese Option wählst, kannst du folgende Informationen vom Nameserver-Betreiber eintragen bzw. die DNSSEC-Einstellungen der Domain(s) vornehmen:

Flags: Für das Keymanagement wird hier die Art des Schlüssel definiert. Wähle 256 für "Zone signing keys" (ZSKs) und 257 für "Key signing keys" (KSKs).
Proto: Dieser Wert steht für Protokoll, kommt von der DENIC und kann für .de-Domains nicht verändert werden. Der Wert muss ggf. beim Nameserver-Betreiber hinterlegt werden.
Algorithmus: Hier kannst du aus aktuell 9 Verschlüsselungsmethoden wählen, die dein Nameserver-Betreiber verwendet bzw. unterstützt.
Public Key: Hier wird der öffentliche Schlüssel des Besitzer der Nameserver-Zone eingetragen. Du bekommst diesen Schlüssel von deinem Nameserver-Betreiber. Mit diesem Public Key können DNS-Clients die Unterschrift validieren und damit die Authentizität und Integrität der Domain in der jeweiligen Root-Zone der Endung überprüfen.

5) Wie kann ich die DNSSEC-Einstellungen überprüfen?


Es gibt eine Reihen von Tools zum Thema DNSSEC. Zur Überprüfung aller DNSSEC-Einstellungen und Eigenschaften empfehlen wir den DNSSEC-Analyzer von Verisign.

Aktualisiert am: 08/11/2022

War dieser Beitrag hilfreich?

Teilen Sie Ihr Feedback mit

Stornieren

Danke!