Warum DNS allein nicht vertrauenswürdig ist
Das Domain Name System (DNS) übersetzt deinen Domainnamen in eine IP-Adresse — wenn jemand deine-domain.de aufruft, fragt sein Rechner einen DNS-Resolver, wohin die Reise geht. Das klassische DNS hat dabei einen Konstruktionsfehler: Die Antworten sind nicht signiert. Ein Resolver kann nicht überprüfen, ob eine Antwort wirklich von deinem zuständigen Nameserver stammt oder ob sie unterwegs gefälscht wurde.
Genau das nutzen Angreifer beim DNS-Spoofing beziehungsweise Cache-Poisoning aus: Sie schmuggeln eine manipulierte DNS-Antwort in den Cache eines Resolvers. Besucher tippen dann brav deine echte Adresse ein, landen aber auf einem fremden Server — etwa einer täuschend echten Phishing-Kopie. Weder der Nutzer noch der Browser merken zwangsläufig etwas davon, denn die Domain in der Adresszeile stimmt ja.
Was DNSSEC genau macht
DNSSEC (Domain Name System Security Extensions) legt eine Signaturschicht über das DNS. Jeder Eintrag deiner Zone wird kryptografisch signiert. Ein Resolver, der DNSSEC unterstützt, kann diese Signatur prüfen und so feststellen: Stammt die Antwort wirklich aus deiner Zone und wurde sie unterwegs nicht verändert?
Wichtig zu verstehen: DNSSEC verschlüsselt deine DNS-Daten nicht. Es sorgt für Authentizität und Integrität, nicht für Vertraulichkeit. Wer mitliest, sieht weiterhin, welche Domain abgefragt wurde — aber niemand kann die Antwort unbemerkt fälschen. Die Prüfkette reicht von der DNS-Root über die TLD (zum Beispiel .de) bis zu deiner Domain. Damit diese Kette schließt, muss ein sogenannter DS-Record bei der Registry hinterlegt sein.
Was ist ein DS-Record?
Der DS-Record (Delegation Signer) ist das Bindeglied. Er liegt eine Ebene über deiner Domain — bei der Registry der TLD — und enthält einen Fingerabdruck deines Signaturschlüssels. Vereinfacht gesagt sagt die .de-Registry damit: „Für diese Domain sind genau diese Schlüssel gültig." Ohne passenden DS-Record bei der Registry bleibt deine Zone zwar signiert, die Vertrauenskette ist aber unterbrochen — und Resolver behandeln die Domain so, als wäre kein DNSSEC aktiv.
Ein DS-Record besteht im Kern aus vier Angaben: dem Key-Tag (einer Kennnummer des Schlüssels), dem Algorithmus, dem Digest-Typ und dem eigentlichen Digest (dem Fingerabdruck). Du musst diese Werte in aller Regel nicht selbst zusammenbauen — bei einer Domain, die du komplett bei Nytrix verwaltest, übernimmt das System die Erzeugung und die Hinterlegung bei der Registry für dich.
DNSSEC im Nytrix-Dashboard aktivieren
Bei Nytrix verwaltest du deine Domains samt vollständiger DNS-Verwaltung (A, AAAA, CNAME, MX, TXT, SRV, CAA) im Domain-Bereich des Dashboards. DNSSEC findest du dort bei der jeweiligen Domain als eigene Option. Melde dich zunächst über Enjyn Auth (SSO) — mit aktivierter 2FA — an und öffne die Domain, die du absichern willst.
- Öffne im Dashboard die Verwaltung der gewünschten Domain.
- Wechsle in den Bereich für DNS beziehungsweise DNSSEC.
- Aktiviere DNSSEC für diese Domain. Im Hintergrund werden die Schlüssel erzeugt und der zugehörige DS-Record bei der Registry hinterlegt.
- Warte die DNS-Propagation ab. Änderungen an DNSSEC brauchen — wie alle DNS-Änderungen — etwas Zeit, bis sie überall greifen.
Das Deaktivieren funktioniert genauso über denselben Schalter. Wichtig: Schalte DNSSEC nie ab, indem du einfach den Nameserver wechselst oder die Zone löschst, solange der DS-Record bei der Registry noch aktiv ist. Bleibt ein DS-Record stehen, dessen Schlüssel es nicht mehr gibt, schlägt die Validierung fehl — und deine Domain wird für DNSSEC-prüfende Resolver schlicht unerreichbar. Erst sauber im Dashboard deaktivieren, dann gegebenenfalls umstellen.
Selbst prüfen, ob es greift
Ob deine Zone signiert ist, kannst du mit Bordmitteln nachsehen. Auf der Kommandozeile holst du dir die Signatur-Einträge so:
dig deine-domain.de DNSKEY +dnssec
Den DS-Record auf TLD-Ebene fragst du so ab:
dig deine-domain.de DS +short
Erscheinen DNSKEY- und RRSIG-Einträge beziehungsweise ein DS-Eintrag, ist die Signatur grundsätzlich vorhanden. Für eine bequeme Sichtprüfung der gesamten Vertrauenskette eignen sich zusätzlich öffentliche DNSSEC-Analyse-Tools im Web, die dir die Kette von der Root bis zu deiner Domain grafisch aufschlüsseln.
Voraussetzungen je nach TLD
Nytrix bietet über 400 TLDs an — und nicht jede unterstützt DNSSEC. Ob es für deine Endung verfügbar ist, hängt an der jeweiligen Registry, nicht an Nytrix. Halte dir diese Punkte vor Augen:
- TLD-Unterstützung: Gängige Endungen wie
.de,.com,.netoder.orgunterstützen DNSSEC seit Langem. Bei exotischeren oder neueren TLDs kann die Unterstützung fehlen. Wenn die Option für deine Domain nicht erscheint, liegt das in der Regel an der Registry. - Eigene Nameserver vs. externe DNS: Die automatische Schlüsselverwaltung und DS-Hinterlegung greift, wenn du DNS und Domain bei Nytrix führst. Nutzt du für eine bei Nytrix registrierte Domain externe Nameserver, musst du den DS-Record passend zu deinem externen DNS-Anbieter setzen — sonst passt der Fingerabdruck nicht zum tatsächlich signierenden Server.
- Transfer beachten: Wenn du eine Domain per AuthCode transferierst, plane DNSSEC mit ein. Ein unpassender DS-Record nach einem Umzug ist eine häufige Ursache für plötzlich nicht mehr erreichbare Domains.
Wenn du unsicher bist, ob deine konkrete Endung DNSSEC kann, hilft ein Blick ins Dashboard: Taucht die Option bei der Domain auf, steht sie dir zur Verfügung.
Mit Nytrix umsetzen
Domains gibt es bei Nytrix mit voller DNS-Kontrolle und DNSSEC inklusive — .de zum Beispiel ab 5,99 EUR pro Jahr. Der WHOIS-Schutz ist gratis dabei, du verwaltest alle gängigen Record-Typen selbst und Transfers laufen unkompliziert per AuthCode. Wie bei Nytrix üblich gilt Prepaid: Du lädst Guthaben über das Enjyn-PayNow-System auf (PayPal, Kreditkarte, Sofortüberweisung/GiroPay, Banküberweisung oder Bitcoin) und buchst dann ohne Mindestlaufzeit oder Vertragsbindung.
DNSSEC entfaltet seinen Nutzen besonders dann, wenn auch der Rest deiner Infrastruktur sauber abgesichert ist. Passt deine Domain mit Signatur zusammen, ergänzen ein E-Mail-Hosting mit automatischem DKIM/SPF/DMARC und ein Webhosting mit kostenlosem Let's-Encrypt-SSL das Bild zu einer durchgängig vertrauenswürdigen Präsenz. Richte DNSSEC am besten gleich nach der Domainregistrierung ein — dann ist die Vertrauenskette von Anfang an geschlossen. Weitere praktische Anleitungen findest du in unserem Blog.