TL;DR — DNSSEC stoppt DNS-Hijacking durch kryptographisches Signieren deiner Domain-Records. Aktiviere es in drei Klicks auf bunkerdomains, veröffentliche DS-Records in deiner Registry, fertig.
Deine Domain wird überall gecacht—ISP-Resolver, öffentliche DNS, CDN-Edges. Ohne DNSSEC kann jeder zwischen dir und deinen Nutzern diese Antworten umschreiben. Sie leiten deine Site auf einen Phishing-Klon um, fangen E-Mails ab oder verteilen Malware. DNSSEC macht solche Angriffe erkennbar.
Was DNSSEC tatsächlich tut
DNS wurde 1983 ohne jede Authentifizierung gebaut. Ein Resolver fragt „wo ist example.com?" und vertraut jeder Antwort, die zurückkommt. DNSSEC fügt digitale Signaturen zu jedem DNS-Record hinzu. Die Signaturen gehen bis zur Root-Zone, die vom ICANN Root-Key signiert wird. Wenn jemand deine Records im Transit manipuliert, schlägt die Signaturvalidierung fehl. Der Resolver verwirft die gefälschte Antwort.
Das ist wichtig für:
- High-Value-Ziele: Krypto-Börsen, Aktivisten-Plattformen, Darknet-Märkte, Whistleblower-Drops
- E-Mail-Integrität: SPF/DKIM-Records können nicht gefälscht werden, wenn DNSSEC live ist
- HTTPS-Bootstrap: DANE (TLS-Zertifikat-Validierung via DNS) erfordert DNSSEC
- Zensurresistenz: Schwerer, deine Domain still umzuleiten, ohne Signaturen zu brechen
DNSSEC verschlüsselt DNS-Anfragen nicht—nutze DoH oder DoT dafür. Es authentifiziert Antworten. Anderes Problem, anderes Werkzeug.
Wie die Signaturkette funktioniert
Deine Nameserver signieren die Zone mit einem privaten Schlüssel (ZSK—Zone Signing Key). Dieser Schlüssel wird selbst durch einen anderen Schlüssel signiert (KSK—Key Signing Key). Der Hash deines KSK-Public-Keys wird zum DS-Record, den du in der Registry veröffentlichst. Die Registry signiert diesen DS-Record. Der TLD-Operator signiert die Records der Registry. Die Root signiert die TLD. Validatoren gehen diese Kette vom Root bis zu deiner Domain.
Wenn ein Link bricht—abgelaufene Signatur, fehlender DS-Record, rotierter Schlüssel ohne Registry-Update—schlägt die Validierung fehl. Strikte Validatoren behandeln das als „Domain existiert nicht." Kein Fallback zu unsigned. Das ist der Sinn.
DNSSEC auf bunkerdomains aktivieren
Melde dich in deinem Dashboard an. Gehe zu Domains → wähle deine Domain → DNS-Einstellungen → DNSSEC-Reiter. Klick auf DNSSEC aktivieren. Wir generieren ein Key-Paar, signieren deine Zone und zeigen den DS-Record.
Du siehst dann etwas wie:
example.com. 3600 IN DS 12345 13 2 A1B2C3D4E5F6...
Vier Felder sind relevant:
| Feld | Bedeutung |
|---|---|
| 12345 | Key Tag (Identifikator für diesen KSK) |
| 13 | Algorithmus (13 = ECDSA P-256 mit SHA-256) |
| 2 | Digest-Typ (2 = SHA-256) |
| A1B2C3… | Digest (Hash deines Public-Keys) |
Kopiere den kompletten DS-Record. Du musst ihn bei deiner Registry einreichen.
DS-Record veröffentlichen
Die meisten TLDs erlauben dir, DS-Records über das Registrar-Control-Panel oder EPP-Commands hinzuzufügen. Auf bunkerdomains:
- Gehe zu Domain-Verwaltung → DNSSEC-Records
- Füge den DS-Record ein (oder trage Felder einzeln ein, wenn das Formular sie splittet)
- Klick An Registry übermitteln
Wir pushen das via EPP. Propagation dauert 15 Minuten bis 24 Stunden je nach TLD. .com/.net sind schnell. Manche ccTLDs cachen länger.
Algorithmus-Wahl
Wir nutzen standardmäßig ECDSA P-256 (Algorithmus 13). Kleinere Keys, schnellere Validierung, breit unterstützt seit 2013. Legacy-Validatoren, die ECDSA nicht können, sind selten und kaputt. Falls du RSA für Kompatibilität mit uralter Infrastruktur brauchst, kontaktiere Support—wir generieren RSA-SHA256-Keys manuell, aber du löst ein Problem, das 2025 nicht existieren sollte.
Validierung und Fehlersuche
Nachdem du den DS-Record veröffentlicht hast, prüfe die Propagation:
dig +dnssec example.com
Suche nach dem ad-Flag (authenticated data) im Response-Header. Falls vorhanden, hat der Resolver die Kette validiert. Falls fehlend, ist DNSSEC nicht live oder etwas ist kaputt.
Häufige Fehler:
- DS-Record nicht veröffentlicht: Registry hat deine Anfrage nicht verarbeitet. Warte oder check ihre Logs.
- Signatur abgelaufen: Wir erneuern Signaturen 7 Tage vor Ablauf automatisch. Falls du die Domain pausiert oder Nameserver woanders hingewiesen hast, verrotten Signaturen.
- Parent-Zone unsigned: Ein paar TLDs unterstützen DNSSEC noch nicht (selten aber echt). Check DNSSEC-Status der TLD, bevor du aktivierst.
- Nameserver-Mismatch: Falls du Custom-Nameserver nutzt, stell sicher, dass sie die Zone signieren. bunkerdomains-Nameserver handhaben das automatisch.
Nutze DNSViz um die Kette zu visualisieren. Rote Boxen bedeuten kaputte Signaturen. Grün heißt validiert. Es zeigt exakt, wo die Kette bricht.
Key-Rotation
Wir rotieren ZSKs alle 90 Tage. KSK rotiert jährlich. Du berührst nix—unsere Automation handled Signaturen und pusht aktualisierte DS-Records zur Registry. Falls du Keys manuell managest (Custom-Nameserver), setze Calendar-Reminders. Eine verpasste Rotation bricht die Domain.
Mixed Content und Partial Signing
Du kannst die Apex signieren und Subdomains unsigned lassen—nur veröffentliche keine DS-Records für die Subs. Unsigned Delegations funktionieren unter einer signierten Parent fein. Das Gegenteil (signiertes Child unter unsigned Parent) ist unmöglich; die Kette muss von Root bis zu deiner Domain ununterbrochen sein.
Performance-Impact
DNSSEC-Responses sind 3–5x größer wegen Signatur (RRSIG) Records. IPv6 + DNSSEC kann eine UDP-Response über 512 Bytes pushen, was Fragmentierung oder TCP-Fallback triggert. Moderne Resolver handhaben das. Uralte eingebettete Geräte (IoT-Router mit 2 MB Firmware) scheitern manchmal.
Falls dein Publikum 95% moderne Desktops/Phones ist, aktiviere es. Falls du ländliche Netzwerke mit zehn Jahre altem CPE bedienst, teste erst. Wir sehen in der Praxis unter 0,1% Breakage-Rate, aber diese 0,1% werden laut beschwerde.
Warum die Mühe, wenn du HTTPS nutzt?
TLS verschlüsselt die Verbindung. DNSSEC authentifiziert die DNS-Antwort, die dem Browser sagt, welche IP du verbindest. Ein Angreifer kann dein HTTPS-Traffic nicht lesen, aber ohne DNSSEC kann er dich zu einem Lookalike-Server mit validem Let's Encrypt-Cert für examp1e.com umleiten. DNSSEC stoppt die Umleitung. DANE geht weiter: es pinnt dein TLS-Cert in DNS, also kann auch eine kompromittierte CA keine Fake-Cert für deine Domain ausstellen.
Krypto-Börsen, PGP-Keyserver und Tor-Bridge-Operatoren sollten DNSSEC + DANE laufen haben. Alle anderen: es ist kostenlose Versicherung.
DNSSEC verwandelt DNS von einer Postkarte in ein notariell beglaubigtes Dokument. Aktiviere es, veröffentliche den DS-Record, validiere. Falls jemand deine Domain im Flug hijacken versucht, bricht die Signatur und der Angriff ist tot. Kein Vertrauen nötig.