DNSSEC in Cloudflare DNS – Grundlegende Informationen und Konfiguration

DNSSEC fügt auf Ihrem DNS ganz oben einen Authentifizierungs-Layer hinzu. Um DNSSEC zu konfigurieren, müssen Sie es zuerst im Cloudflare Dashboard aktivieren und dann beim Registrar Ihrer Domain einen DS-Eintrag hinzufügen.


Überblick

DNSSEC fügt einer ansonsten unsicheren DNS-Infrastruktur einen Authentifizierungs-Layer hinzu. Es garantiert, dass Besucher auch wirklich zu Ihrem Webserver geleitet werden, wenn sie Ihre Domain in einem Webbrowser eingeben. Dadurch werden Man-in-the-Middle-Angriffe und andere Arten von DNS-Fälschungen verhindert.

Genaueres dazu erfahren Sie am Ende dieses Artikels im Abschnitt Mehr Informationen über DNSSEC.

Wenn Sie DNSSEC aktivieren, wird Cloudflare:

  • Ihre Zone signieren.
  • Ihre öffentlichen Signaturschlüssel veröffentlichen.
  • Ihren DS-Eintrag generieren.

Beachten Sie, dass DNSSEC nicht von allen Registraren und TLDs (Top-Level Domains, Domains der obersten Ebene) unterstützt wird. Welche Optionen Sie dann haben, erfahren Sie im Abschnitt Was ist, wenn DNSSEC von meinem Registrar oder meiner TLD nicht unterstützt wird?

Um DNSSEC für Ihre Domain zu aktivieren ist es erforderlich, DNSSEC in Cloudflare zu aktivieren und Ihrer DNS-Konfiguration beim Registrar einen speziellen Eintrag hinzuzufügen.

Cloudflare unterstützt das automatische Einrichten von DNSSEC (über CDS- und CDNSKEY-Datensatztypen), ohne dass Kunden einen DS-Datensatz für Domains, die unter diesen Top-Level-Domains registriert sind, manuell hochladen müssen:
  • .ch
  • .cz

Nachfolgend werden die beiden Schritte erläutert, die erforderlich sind, um Ihrer über den Cloudflare-Proxy geleiteten Domain DNSSEC-Unterstützung hinzuzufügen.


Schritt 1 – Aktivieren von DNSSEC in Cloudflare DNS

Mit dem erstmaligen Aktivieren von DNSSEC im Cloudflare Dashboard bitten Sie Cloudflare, die Daten zu generieren, die für das Hinzufügen eines DS-Eintrags („Delegation Signer“) für Ihre Domain beim Registrar erforderlich sind.

Die von Cloudflare gewählte Cipher-Suites (Algorithm 13, auch als ECDSA Curve P-256 mit SHA-256 bezeichnet) wird nicht von allen Registraren unterstützt. Beachten Sie, dass je nach der TLD manche Registrare eine andere Auswahl von Verifizierungsalgorithmen unterstützen. Wenn Algorithm 13 von Ihrem Registrar oder Ihrer TLD-Registrierung nicht unterstützt wird, lesen Sie den Abschnitt Was ist, wenn DNSSEC von meinem Registrar oder meiner TLD nicht unterstützt wird?

So erhalten Sie die Cloudflare-Daten für den DS-Eintrag:

1. Melden Sie sich im Cloudflare-Dashboard an.

2. Vergewissern Sie sich, dass die richtige Website für den benötigten DS-Eintrag ausgewählt ist.

3. Klicken Sie auf die DNS-App.

4. Blättern Sie nach unten bis zum Bereich DNSSEC.

5. Klicken Sie auf „Enable DNSSEC“ (DNSSEC aktivieren). Ein Dialogfeld wird eingeblendet, in dem steht, dass Ihre Konfiguration ausstehend ist, bis der DS-Eintrag bei Ihrem Registrar hinzugefügt wurde.

6. Klicken Sie als nächstes auf das Dropdown-Feld DS Record (DS-Eintrag) im Bereich DNSSEC, um das Feld zu erweitern.

7. Kopieren Sie die angezeigten Informationen für den DS-Eintrag, da Sie diese in Schritt 2 (weiter unten) benötigen werden.


Schritt 2 – Hinzufügen eines DS-Eintrags zu Ihrem Registrar

Nach Abschluss von Schritt 1 sollten Sie über die von Cloudflare generierten DS-Daten verfügen, die Sie für diesen Schritt benötigen.

Damit Sie Ihre DNSSEC-Konfiguration fertig stellen können, muss für Ihre Domain ein DS-Eintrag in Ihrer DNS-Konfiguration bei Ihrem Registrar vorliegen. Suchen Sie in der folgenden Liste Ihren Registrar, und folgen Sie den dazugehörigen Anweisungen.

Registrar

Anweisungen

123 Reg

Wenden Sie sich an den Kundensupport Ihres Registrars und geben Sie die Daten für den DS-Eintrag an, die Sie von Cloudflare erhalten haben.

DNSimple

Verwendung von Cloudflare DNSSEC mit DNSimple

domaindiscount24

DNSSEC

dotster

Wenden Sie sich an den Kundensupport Ihres Registrars und geben Sie die Daten für den DS-Eintrag an, die Sie von Cloudflare erhalten haben.

DreamHost

Überblick über DNSSEC

Verwenden Sie in DreamHost als Digest-Typ die 2 anstelle von SHA256.

dynadot

Wie richte ich DNSSEC ein?

enom

Hinzufügen von DNSSEC zu einem Domain-Namen

gandi

DNSSEC

In gandi müssen Sie darauf achten, dass Sie in der Dropdown-Liste „Algorithm“ (Algorithmus) den Eintrag „Algorithm 13“ auswählen.

GoDaddy

Hinzufügen eines DS-Eintrags

godzone

Wenden Sie sich an den Kundensupport Ihres Registrars und geben Sie die Daten für den DS-Eintrag an, die Sie von Cloudflare erhalten haben.

In der Web-Systemsteuerung von godzone sollten Sie einen DS-Eintrag unter der Registerkarte Domains hinzufügen können.

Google Domains

Einrichten von DNSSEC-Sicherheit

Siehe dazu die Anweisungen für benutzerdefinierte Nameserver.

hover

DNSSEC – Grundlegende Informationen und Verwaltung

internet.bs

Wenden Sie sich an den Kundensupport Ihres Registrars und geben Sie die Daten für den DS-Eintrag an, die Sie von Cloudflare erhalten haben.

Unter dem folgenden Pfad sollten Sie einen DS-Eintrag hinzufügen können:

  • My Domains > Update DNS List > Manage DNSSEC > Enable DNSSEC (Meine Domains > DNS-Liste aktualisieren > DNSSEC verwalten > DENSEC aktivieren)

Joker.com

DNSSEC-Support

In Joker.com müssen Sie als Digest-Typ die 2 anstelle von SHA256 verwenden.

MarkMonitor

MarkMonitor unterstützt den Verifizierungsalgorithmus 13 und implementiert automatisch das Extensive Provisioning Protocol (EPP) für die Weitergabe von DS-Einträgen an die Registrierung für die folgenden TLDs:

.com, .biz, .net, .org, .us, .eu, .fr, .de, .co, .lu, .ch, .be, .li, .co.uk, .wf, .tf, .pm, .yt, .se, .af, .cx, .gs, .hn, .ki, .nf, .sb, .tl, .re

Zum Hinzufügen eines DS-Eintrags geben Sie die DS-Daten im MarkMonitor-Verwaltungsportal in den Bereich DNSSEC Details ein.

Moniker

Wenden Sie sich an den Kundensupport Ihres Registrars und geben Sie die Daten für den DS-Eintrag an, die Sie von Cloudflare erhalten haben.

Unter dem folgenden Pfad sollten Sie einen DS-Eintrag hinzufügen können:

  • My Domains >Advanced Settings > DNSSEC > DSData (Meine Domains > Erweiterte Einstellungen > DNSSEC > DS-Daten)

name.com

Verwalten von DNSSEC

namecheap

Verwalten von DNSSEC für Domains, die auf benutzerdefinierte DNS verweisen

nameISP

Wie aktiviere ich DNSSEC für meine Domain?

Zum Aktivieren von DNSSEC in nameISP ist es nicht erforderlich, dass Sie die Daten für den DS-Eintrag aus Ihrem Cloudflare-Konto kopieren und einfügen.

namesilo

DS-Einträge (DNSSEC)

OVH

OVH unterstützt DNSSEC mit Algorithm 13 über die eigene API. Siehe Dokumentation.

OVH unterstützt auch das Hinzufügen von DS-Einträgen über den eigenen DNS Manager.

Public Domain Registry

Wenden Sie sich an den Kundensupport Ihres Registrars und geben Sie die Daten für den DS-Eintrag an, die Sie von Cloudflare erhalten haben.

TLD dieses Registrars können möglicherweise eingeschränkt sein.

Siehe Hinzufügen von DS-Einträgen.

register.com

Wenden Sie sich an den Kundensupport Ihres Registrars und geben Sie die Daten für den DS-Eintrag an, die Sie von Cloudflare erhalten haben.

registro.br

DNS e DNSSEC Tutoriais (Tutorials zu DNS und DNSSEC, auf Portugiesisch)

Tsohost

Wenden Sie sich an den Kundensupport Ihres Registrars und geben Sie die Daten für den DS-Eintrag an, die Sie von Cloudflare erhalten haben.


Was ist, wenn DNSSEC von meinem Registrar oder meiner TLD nicht unterstützt wird?

Zum Aktivieren von DNSSEC müssen sowohl Ihr Registrar als auch die Registry (TLD) DNSSEC die von Cloudflare bevorzugte Chiffrierung (Algorithm 13) unterstützen.

Obwohl DNSSEC-Support von ICANN verlangt wird und Algorithm 13 seit Jahren standardisiert ist, werden diese Protokolle von einigen Registraren und Registrys immer noch nicht unterstützt.

Wenn Sie versuchen möchten, Ihren Registrar zu veranlassen, DNSSEC zu unterstützen, haben Sie drei Möglichkeiten:

1. Wenden Sie sich an Ihre Registrar und fragen Sie nach DNSSEC mit moderner Verschlüsselung. Viele Registrare warten mit der Unterstützung für DNSSEC so lange, bis es genügend Nachfrage dafür gibt. Wenn Sie also aktiv werden, weiß Ihr Registrar, dass es eine Nachfrage nach DNSSEC mit Algorithm 13 gibt.

2. Sie können Ihre Domain zu einem anderen Registrar verlegen, der DNSSEC mit Algorithm 13 unterstützt (wie in der Vorgehensweise für Schritt 2 erläutert).

3. Und als letzte Möglichkeit könnten Sie eine Beschwerde bei ICANN einreichen, in der Sie die unzureichende Compliance Ihres Registrars melden. ICANN verlangt von Registraren, DNSSEC mit allen verfügbaren Typen von DS-Algorithmen zu unterstützen.

ICANN hat keine Autorität über Ländercode-TLDs (ccTLDs).  Kontaktieren Sie die ccTLD direkt.  IANA unterhält eine Liste aller vergebenen ccTLDs und ihrer designierten Verwalter.

Wenn die Unterstützung auf der TLD-Ebene fehlt, versuchen Sie Option 1 (siehe oben). Die Kontaktinformationen für Ihre TLD-Registry finden Sie in der Iana Root Zone Database (Iana-Stammzonen-Datenbank).


Mehr Informationen über DNSSEC

 

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

Powered by Zendesk