one.com unterstützt DNSSEC, Domain Name System Security Extensions. Es ist standardmäßig aktiviert, wenn Sie die Nameserver von one.com verwenden. In diesem Artikel erklären wir Ihnen mehr über DNSSEC.
Um DNSSEC zu verstehen, ist es hilfreich, die Grundlagen von DNS (Domain Name System) zu kennen. Für eine Auffrischung können Sie unseren Leitfaden lesen: Was ist DNS?
- Was ist DNSSEC?
- Was schützt DNSSEC?
- Wie verwalte ich DNSSEC?
- Wie kann ich überprüfen, ob DNSSEC funktioniert?
- Keine Verwendung unserer Nameserver > DS-Records
Was ist DNSSEC?
DNS an sich ist nicht sicher. Um die Sicherheit zu erhöhen, wurde DNSSEC geschaffen. Dabei handelt es sich um eine Reihe von Erweiterungen, die der DNS-Zone eine zusätzliche Sicherheitsebene verleihen, indem sie digital signiert werden. Wenn ein Domainname DNSSEC verwendet, werden die DNS-Records mit kryptografischen Signaturen (Sicherheitsschlüsseln) versehen.
Diese Signaturen werden von den DNS-Resolvern validiert, um sicherzustellen, dass die DNS-Informationen vom richtigen DNS-Server stammen. Auf diese Weise kann der Datensatz nicht verändert oder gefälscht werden und wurde während der Übertragung nicht manipuliert. Dies bietet eine sichere Möglichkeit, auf Ihre Website und Online-Dienste zuzugreifen.
Was wird durch DNSSEC geschützt?
DNS ist anfällig für eine Reihe von DNS-basierten Angriffen, wie DNS-Spoofing, - Hijacking und - Cache Poisoning. Diese Angriffe können schwerwiegende Folgen haben, z.B. die Umleitung von Benutzern auf bösartige oder betrügerische Websites, den Diebstahl sensibler Daten oder die Störung des normalen Betriebs des Internets.
DNSSEC-signierte Domains garantieren die Authentizität und Integrität der DNS-Daten, die zwischen signierten Zonen ausgetauscht werden. Dies erhöht die Vertrauenswürdigkeit und verbessert die allgemeine Sicherheit der DNS-Infrastruktur in einer einzelnen Zone.
Die DNS-Daten werden nicht verschlüsselt und bieten auch keinen Schutz der Daten. TLS/SSL verschlüsselt Daten, die zwischen Clients und Servern ausgetauscht werden, um verschiedene Internetprotokolle zu sichern, darunter Webbrowsing (HTTPS) und E-Mail (SMTP, IMAP). Andererseits bietet ein SSL-Zertifikat keinen Schutz gegen Spoofing, während DNSSEC dies tut. Lesen Sie mehr über SSL in unseren Artikeln in diesem Abschnitt.
Tipp: Wenn Sie mehr darüber erfahren möchten, was DNSSEC ist und warum es wichtig ist, lesen Sie diesen Artikel von ICANN
Wie verwaltet man DNSSEC?
DNSSEC ist standardmäßig aktiviert, wenn Sie die Nameserver von one.com verwenden. Falls Sie es deaktivieren möchten, folgen Sie diesen Schritten:
- Melden Sie sich im one.com Kontrollpanel an.
- Klicken Sie in der Kachel Erweiterte Einstellungen auf DNS-Einstellungen.
- Klicken Sie auf die Registerkarte Nameserver.
- Klicken Sie in Ihrer Nameserververwaltung auf die Registerkarte DNSSEC.
- Klicken Sie auf den Button Deaktivieren .
Wie kann ich überprüfen, ob DNSSEC funktioniert?
Sie können ein webbasiertes Validierungstool verwenden, um zu überprüfen, ob die DNSSEC-Konfiguration für Ihre Domain funktioniert. Wir haben unten zwei aufgeführt. Sie prüfen, ob die DNS-Records Ihrer Domain korrekt signiert wurden und von DNS-Resolvern überprüft werden können; außerdem liefern sie einen Bericht über etwaige Probleme oder Fehler.
-
DNSViz.net - Bietet eine visuelle Darstellung. Sie sollten in der linken Spalte nur "Secure" (sicher) sehen.
- DNSSEC-Analyzer.VeriSignLabs.com - Liefert detaillierte Informationen. Sie sollten nur grüne Häkchen sehen.
Haben Sie DNSSEC über das one.com Kontrollpanel aktiviert? Dann kann die Überprüfung bis zu 24 Stunden dauern. Wenn die Aktivierung erfolgreich war, wird ein grüner Balken mit der Erfolgsmeldung angezeigt, wie im Screenshot unten zu sehen ist. Wenn Sie die Seite erneut aufrufen, wird diese Meldung nicht mehr angezeigt.
Keine Verwendung unserer Nameserver?
DNSSEC wird automatisch deaktiviert, wenn Sie zu externen Nameservern wechseln. Die Benachrichtigung im Screenshot unten wird dann im one.com Kontrollpanel unter "DNS-Einstellungen" > "Nameserver" > "DNSSEC" angezeigt. Wenn DNSSEC über Ihren externen DNS-Anbieter bereitgestellt und dort aktiviert wird, müssen Sie DS-Records manuell bei uns hinzufügen.
Hinzufügen von DS-Records
Delegation Signer (DS)-Records sind ein wesentlicher Bestandteil von DNSSEC. Sie ermöglichen es Ihnen, das Vertrauen von einer übergeordneten Zone an eine untergeordnete Zone zu delegieren, was als "Vertrauenskette" bezeichnet wird. Der DS-Record wird verwendet, um die Authentizität der untergeordneten Zonen zu überprüfen. DS-Records werden automatisch konfiguriert, wenn die Domain die Nameserver von one.com verwendet.
Wenn die Nameserver von one.com nicht verwendet werden, fügen Sie DS-Records manuell über das one.com Kontrollpanel hinzu. Die 4 benötigten Werte, KeyTag, Algorithmus, Digest-Typ und Digest, erhalten Sie von Ihrem Nameserver-Anbieter oder über ein Generator-Tool. Folgen Sie dann diesen Schritten, um den DS-Record zu erstellen:
- Melden Sie sich im one.com Kontrollpanel an.
- Klicken Sie in der Kachel Erweiterte Einstellungen auf DNS-Einstellungen.
- Klicken Sie auf die Registerkarte Nameserver.
- Klicken Sie in Ihrer Nameserververwaltung auf die Registerkarte DS Records.
- Geben Sie den Wert in die 4 separaten Felder für KeyTag, Algorithmus, Digest-Typ und Digest ein
- Klicken Sie auf Speichern.
- Es beginnt nun mit dem Laden Ihrer bestehenden DNS-Records. Bei erfolgreichem Hinzufügen wird ein grüner Balken mit einer Erfolgsmeldung angezeigt.
Hinweis: Das Hinzufügen falscher DNS-Records kann zu Ausfallzeiten der Website führen. Sie können unseren Support um Hilfe bitten, wenn Sie Bedenken bezüglich der DNS-Einstellungen haben.
Verwandte Artikel: