Ein DS-Record (Delegation Signer) ist ein kryptographischer Fingerabdruck, der die DNSSEC-Schlüssel einer Kindzone mit ihrer Elternzone verbindet. So bestätigt die DNS-Root die Authentizität deiner Domain, ohne deine tatsächlichen Signaturschlüssel zu speichern.
Hier liegt die Bedeutung: DS-Records bilden die Vertrauenskette in DNSSEC. Dein Registrar veröffentlicht den DS-Record auf der Ebene der übergeordneten Registry. Wenn ein Resolver deine Domain validiert, prüft er deinen DNSKEY gegen den DS-Record, den die Elternzone veröffentlicht hat. Breche diese Kette und die DNSSEC-Validierung schlägt fehl – deine Domain sieht unsigniert oder gefälscht aus.
Beispiel: Du betreibst eine .com-Domain mit aktiviertem DNSSEC. Du generierst einen DNSKEY, hashst ihn und gibst diesen Hash (den DS-Record) deinem Registrar. Die Registry pflanzt ihn in die .com-Zonendatei. Jetzt können Clients, die deine Domain validieren, deinem DNSKEY vertrauen, weil die .com-Zone das sagt.
Warum bunkerdomains sich darum kümmert: DNSSEC härtete deine Domain gegen DNS-Hijacking und Cache-Poisoning. Wenn du sensible Inhalte hostest oder Infrastruktur betreibst, die sich kein DNS-Spoofing leisten kann, sind DS-Records nicht verhandelbar. Sie sind auch ein Zeichen technischer Ernsthaftigkeit – zeigt, dass du nicht einfach eine Domain mietest, du verteidigst sie.