Was ist DNSSEC?

one.com unterstützt DNSSEC (Domain Name System Security Extensions). Diese Funktion ist standardmäßig aktiviert, wenn Sie die Nameserver von one.com verwenden. In diesem Artikel erklären wir Ihnen mehr über DNSSEC.

Um DNSSEC zu verstehen, ist es hilfreich, die Grundlagen des DNS (Domain Name System) zu kennen. Zur Auffrischung können Sie unseren Leitfaden lesen: What is DNS?

Neues Update für das one.com-Kontrollpanel

Aufgrund der Einführung unseres neuen Control-Panel-Designs können einige Schritte oder Screenshots in dieser Anleitung anders aussehen als das, was Sie derzeit sehen. Während wir an Aktualisierungen arbeiten, sehen Sie sich bitte die nachstehende Anleitung an, falls die Anweisungen nicht mit Ihrer Bildschirmdarstellung übereinstimmen:

Navigating das neue Design des one.com-Control-Panels

Was ist DNSSEC?

Das DNS an sich ist nicht sicher. Um die Sicherheit zu erhöhen, wurde DNSSEC entwickelt. Dabei handelt es sich um eine Reihe von Erweiterungen, die der DNS-Zone durch digitale Signatur eine zusätzliche Sicherheitsebene hinzufügen. Wenn ein Domainname DNSSEC nutzt, werden die DNS-Einträge mit kryptografischen Signaturen (Sicherheitsschlüsseln) versehen.

Diese Signaturen werden von den DNS-Resolvern überprüft, wodurch sichergestellt wird, dass die DNS-Informationen vom richtigen DNS-Server stammen. Auf diese Weise kann der Eintrag nicht verändert oder gefälscht werden und wurde während der Übertragung nicht manipuliert. Dies bietet eine sichere Möglichkeit, auf Ihre Website und Ihre Online-Dienste zuzugreifen.

Was wird durch DNSSEC geschützt?

Das DNS ist anfällig für eine Reihe von DNS-basierten Angriffen, wie beispielsweise DNS-Spoofing, -Hijacking und -Cache-Poisoning. Diese Angriffe können schwerwiegende Folgen haben, darunter die Umleitung von Nutzern auf bösartige oder betrügerische Websites, den Diebstahl sensibler Daten oder die Störung des normalen Betriebs des Internets.

DNSSEC-signierte Domänen gewährleisten die Authentizität und Integrität der DNS-Daten, die zwischen signierten Zonen ausgetauscht werden. Dies erhöht die Vertrauenswürdigkeit und verbessert die allgemeine Sicherheit der DNS-Infrastruktur in einer einzelnen Zone.

Die DNS-Daten sind weder verschlüsselt noch bieten sie Datenschutz. TLS/SSL verschlüsselt hingegen den Datenaustausch zwischen Clients und Servern, um verschiedene Internetprotokolle zu sichern, darunter das Surfen im Internet (HTTPS) und E-Mail (SMTP, IMAP). Ein SSL-Zertifikat bietet jedoch keinen Schutz vor Spoofing, während DNSSEC dies sehr wohl tut. Lesen Sie mehr über SSL in unseren Artikeln im Bereich this“.

 

Tipp: Wenn Sie mehr darüber erfahren möchten, was DNSSEC ist und warum es wichtig ist, lesen Sie diesen Artikel von ICANN 

Wie verwaltet man DNSSEC?

DNSSEC ist standardmäßig aktiviert, wenn Sie die Nameserver von one.com verwenden. Falls Sie es deaktivieren möchten, folgen Sie diesen Schritten:

  1. Melden Sie sich im one.com Kontrollpanel an.
  2. Klicken Sie in der Kachel Erweiterte Einstellungen auf DNS-Einstellungen.
  3. Klicken Sie auf die Registerkarte Nameserver.
  4. Klicken Sie in Ihrer Nameserververwaltung auf die Registerkarte DNSSEC.
  5. Klicken Sie auf den Button Deaktivieren .

Deactivate_DNSSEC.gif

Wie kann ich überprüfen, ob DNSSEC funktioniert?

Sie können ein webbasiertes Validierungstool verwenden, um zu überprüfen, ob die DNSSEC-Konfiguration für Ihre Domain funktioniert. Wir haben unten zwei aufgeführt. Sie prüfen, ob die DNS-Records Ihrer Domain korrekt signiert wurden und von DNS-Resolvern überprüft werden können; außerdem liefern sie einen Bericht über etwaige Probleme oder Fehler.

  • - Bietet eine visuelle Darstellung. Sie sollten in der linken Spalte nur "Secure" (sicher) sehen.
     
  • DNSSEC-Analyzer.VeriSignLabs.com - Liefert detaillierte Informationen. Sie sollten nur grüne Häkchen sehen.

Haben Sie DNSSEC über das one.com-Control-Panel aktiviert? Dann kann die Überprüfung bis zu 24 Stunden dauern. Nach erfolgreicher Aktivierung wird ein grüner Balken mit einer Erfolgsmeldung angezeigt, wie im folgenden Screenshot zu sehen ist. Wenn Sie die Seite erneut aufrufen, wird diese Meldung nicht mehr angezeigt.

DNSSEC_active.png

 

Keine Verwendung unserer Nameserver?

DNSSEC wird automatisch deaktiviert, wenn Sie zu externen Nameservern wechseln. Die Meldung im folgenden Screenshot wird dann im one.com-Kontrollpanel unter „DNS-Einstellungen“ > „Nameserver“ > „DNSSEC“ angezeigt. Wenn DNSSEC über Ihren externen DNS-Anbieter aktiviert und dort eingerichtet ist, müssen Sie die DS-Einträge bei uns manuell hinzufügen. 

DNSSEC_external_nameserver.png

Hinzufügen von DS-Records

DS-Einträge (Delegation Signer) sind ein wesentlicher Bestandteil von DNSSEC. Sie ermöglichen es Ihnen, das Vertrauen von einer übergeordneten Zone an eine untergeordnete Zone weiterzugeben, was als „Vertrauenskette“ bezeichnet wird. Der DS-Eintrag dient dazu, die Authentizität von untergeordneten Zonen zu überprüfen. DS-Einträge werden automatisch konfiguriert, wenn die Domain die Nameserver von one.com nutzt.

Wenn die Nameserver von one.com nicht verwendet werden, fügen Sie DS-Einträge manuell über das one.com-Control-Panel hinzu. Die vier erforderlichen Werte – KeyTag, Algorithm, Digest-Typ und Digest – erhalten Sie von Ihrem Nameserver-Anbieter oder über ein Generator-Tool. Befolgen Sie anschließend diese Schritte, um den DS-Eintrag zu erstellen:

  1. Loggen Sie sich im one.com Kontrollpanel ein.
  2. Klicken Sie in der Kachel Erweiterte Einstellungen auf DNS-Einstellungen.
  3. Klicken Sie auf die Registerkarte Nameserver.
  4. Klicken Sie in Ihrer Nameserververwaltung auf die Registerkarte DS Records.
  5. Geben Sie den Wert in die 4 separaten Felder für KeyTag, Algorithmus, Digest-Typ und Digest ein
  6. Klicken Sie auf Speichern.
  7. Es beginnt nun mit dem Laden Ihrer bestehenden DNS-Records. Bei erfolgreichem Hinzufügen wird ein grüner Balken mit einer Erfolgsmeldung angezeigt.

Hinweis: Das Hinzufügen falscher DNS-Records kann zu Ausfallzeiten der Website führen. Sie können unseren Support um Hilfe bitten, wenn Sie Bedenken bezüglich der DNS-Einstellungen haben.

DNSSEC_DS_records.png

 

Verwandte Artikel:

War dieser Beitrag hilfreich?

Können Sie nicht finden, wonach Sie suchen?

Starten Sie einen Chat

Der schnellste Weg, mit uns in Kontakt zu treten – werktags von 09:00 bis 18:00 Uhr.

Chat starten