blueredix logo
SCAN Schwachstellenscans auf Abruf ab 149 €
low dnssec-not-enabled

DNSSEC nicht aktiviert

DNSSEC versieht jede Antwort des DNS mit einem manipulationssicheren Siegel. Ohne DNSSEC kann ein Angreifer im Netz Besucher und E-Mail unbemerkt umleiten.

Worum es geht

Tippt jemand ihre-domain.de in den Browser, fragt das Gerät das Internet “welche Server-Adresse gehört zu diesem Namen?”. Die Antwort kommt aus dem DNS, dem weltweiten Telefonbuch der Domainnamen. Standardmäßig ist diese Antwort nicht signiert: wer die Anfrage abfängt oder einen Telefonbuch-Eintrag manipulieren kann, kann eine falsche Antwort liefern, und das Gerät vertraut ihr.

DNSSEC ist das kryptographische Siegel, das DNS-Antworten manipulationssicher macht. Mit aktivem DNSSEC ist jede Antwort signiert und vom Empfänger-Gerät überprüfbar. Stimmt die Signatur nicht, wird die Antwort verworfen.

Warum das wichtig ist

DNSSEC schützt eine Schicht, die die meisten nicht sehen, die aber hohe Auswirkung hat, wenn etwas schiefgeht. Dasselbe DNS, das Besucher zu Ihrer Webseite leitet, sagt nämlich auch:

  • Mailservern, wohin Ihre E-Mail zugestellt werden soll.
  • Anderen Servern, welche IP-Adressen in Ihrem Namen Mail versenden dürfen (Ihr SPF-Eintrag).
  • Zertifizierungsstellen, ob sie HTTPS-Zertifikate für Ihre Domain ausstellen dürfen (Ihr CAA-Eintrag, siehe CAA-Artikel).

Ein erfolgreicher DNS-Angriff auf eines dieser Felder, selbst kurz und auf einem einzelnen Netz, kann Mail Ihrer Kund:innen über einen Angreifer umleiten, ein gefälschtes HTTPS-Zertifikat für Ihre Domain ausstellen lassen oder Ihre Kund:innen auf einen Phishing-Klon schicken.

Wir bewerten den Befund als niedrig, weil realistische Angriffe eine privilegierte Netz-Position voraussetzen. Beheben lohnt sich trotzdem; bei den meisten Managed-DNS-Anbietern ist es ein Schalter zum Nulltarif.

So beheben Sie das

DNSSEC ist meist genau das: ein Schalter. Zwei Bausteine müssen zusammenpassen:

  1. Zone bei Ihrem DNS-Anbieter signieren. Cloudflare, AWS Route 53, Google Cloud DNS und die meisten deutschen Hoster (IONOS, STRATO, Netcup, InterNetX) bieten dafür einen Ein-Klick-Schalter im Panel.

  2. Registrar informieren. Nach dem Signieren liefert Ihr DNS-Anbieter einen kleinen Textbaustein (“DS-Record”). Diesen tragen Sie in den Einstellungen Ihres Domain-Registrars ein, also bei dem Unternehmen, bei dem Sie die Domain gekauft haben. Der Registrar reicht ihn an die Top-Level-Domain (.de, .com etc.) durch und schließt damit die Vertrauenskette.

Innerhalb einer Stunde ist Ihre Domain Ende-zu-Ende signiert. Der unten verlinkte Checker bestätigt es.

Hinweis zum Registrar: nicht jeder unterstützt DS-Records für jede Top-Level-Domain. Falls Ihrer es nicht tut, ist eventuell ein Wechsel sinnvoll. Für .de-Domains beherrschen praktisch alle deutschen Registrare DNSSEC sauber.

Mehr dazu