Teil 4 der Serie „EU Web Security: In 10 Schritten zum besseren Rating"
Das unsichtbare Fundament
Bevor Ihr Browser eine Website laden kann, muss er den Domainnamen in eine IP-Adresse auflösen. Das macht das Domain Name System (DNS) — und es hat ein fundamentales Problem: es wurde 1983 ohne Authentifizierung entworfen. Jeder, der DNS-Antworten manipulieren kann, kann Nutzer auf beliebige Server umleiten.
Ein Angreifer im gleichen Netzwerk kann DNS-Antworten fälschen und Ihre Kunden auf eine perfekte Kopie Ihrer Website umleiten — inklusive gültigem Let's-Encrypt-Zertifikat, wenn kein CAA-Record die Ausstellung einschränkt.
DNSSEC-Adoption in der EU: 15,8%. Nur jede sechste Domain ist geschützt.
Die Zahlen
- DNSSEC: 15,8% validiert
- CAA (Certification Authority Authorization): 3,0%
- DANE/TLSA: unter 1%
97% der europäischen Domains haben keinen CAA-Record. Das bedeutet: jede Zertifizierungsstelle der Welt kann ein gültiges Zertifikat für Ihre Domain ausstellen — auch ein Angreifer mit Zugriff auf eine kompromittierte CA.
Was ist DNSSEC?
DNSSEC (Domain Name System Security Extensions, RFC 4033-4035) signiert DNS-Antworten kryptographisch. Der auflösende Nameserver kann verifizieren, dass die Antwort tatsächlich vom zuständigen Nameserver stammt und nicht verändert wurde.
Ohne DNSSEC: ihre-domain.de → 93.184.216.34 (nicht verifizierbar)
Mit DNSSEC: ihre-domain.de → 93.184.216.34 + RRSIG (kryptographisch signiert)
So aktivieren Sie DNSSEC
DNSSEC wird beim DNS-Provider aktiviert, nicht auf Ihrem Server.
Schritt 1: Prüfen Sie Ihren DNS-Provider
Die meisten großen Provider unterstützen DNSSEC:
| Provider | DNSSEC-Support | Aktivierung |
|---|---|---|
| Cloudflare | Ja | Ein Klick im Dashboard |
| IONOS/1&1 | Ja | Automatisch für neue Domains |
| Hetzner | Ja | DNS-Konsole → DNSSEC aktivieren |
| Strato | Ja | Domainverwaltung → DNSSEC |
| OVH | Ja | DNS-Zone → DNSSEC aktivieren |
| AWS Route 53 | Ja | Über CLI oder Console |
| all-inkl | Teilweise | Support kontaktieren |
Schritt 2: DNSSEC aktivieren
Bei den meisten Providern ist es ein Schalter in der DNS-Verwaltung. Der Provider generiert die DNSSEC-Schlüssel und signiert die Zone automatisch.
Schritt 3: DS-Record beim Registrar hinterlegen
Wenn DNS-Provider und Registrar unterschiedlich sind (z.B. Domain bei IONOS, DNS bei Cloudflare), müssen Sie den DS-Record manuell beim Registrar eintragen. Der DS-Record ist der Vertrauensanker — er verbindet Ihre Domain mit der DNSSEC-Signatur.
Cloudflare zeigt Ihnen den DS-Record an, den Sie beim Registrar eintragen müssen.
Schritt 4: Validierung prüfen
dig +dnssec ihre-domain.de
Wenn in der Antwort ad (Authenticated Data) Flag steht, ist DNSSEC aktiv und validiert.
CAA: Wer darf Zertifikate ausstellen?
Ein CAA-Record (RFC 8659) definiert, welche Zertifizierungsstellen TLS-Zertifikate für Ihre Domain ausstellen dürfen:
ihre-domain.de. IN CAA 0 issue "letsencrypt.org"
ihre-domain.de. IN CAA 0 issuewild ";"
issue "letsencrypt.org"— nur Let's Encrypt darf Zertifikate ausstellenissuewild ";"— keine Wildcard-Zertifikate von niemandem
3% der EU-Domains haben einen CAA-Record. Die anderen 97% vertrauen blind jeder CA der Welt.
Häufige Fehler
1. DNSSEC aktivieren ohne Monitoring. Wenn DNSSEC-Signaturen ablaufen (Schlüssel-Rotation fehlgeschlagen), wird die Domain für alle DNSSEC-validierenden Resolver unerreichbar. Stellen Sie sicher, dass Ihr Provider die Schlüssel automatisch rotiert.
2. CAA zu strikt. Wenn Sie den CA-Provider wechseln und den CAA-Record nicht anpassen, scheitert die Zertifikatserneuerung.
3. DANE ohne DNSSEC. DANE/TLSA-Records funktionieren nur mit DNSSEC — ohne Signatur kann ein Angreifer auch den TLSA-Record fälschen.
Regulatorischer Kontext
- NIS2 Art. 21(2) — DNS-Infrastruktur ist Teil der Cybersicherheitsmaßnahmen für Netz- und Informationssysteme
- NIS2 Art. 28 — spezifische Pflichten für DNS-Diensteanbieter und TLD-Registries
- DSGVO Art. 32 — DNS-Manipulation kann zu Phishing und damit zu Datenschutzverletzungen führen
Prüfen Sie Ihre DNS-Sicherheit
SiteGuardian prüft DNSSEC-Validierung, CAA-Records, DANE/TLSA und DNS-Hygiene (offene Zone Transfers, verwaiste Records):
Nächste Woche in Teil 5: security.txt — der RFC 9116-Standard, den das BSI empfiehlt und den 97,2% der EU-Websites nicht haben.