DNSSEC: Domains absichern von Web bis Active Directory

Das Domain Name System ist die Grundlage nahezu jeder Internetkommunikation — und zugleich eines der verwundbarsten Protokolle im täglichen Einsatz. DNS wurde in den 1980er-Jahren ohne jegliche Sicherheitsmechanismen entworfen. Jede DNS-Antwort wird ungeprüft akzeptiert, unabhängig davon, ob sie tatsächlich vom zuständigen Nameserver stammt oder von einem Angreifer manipuliert wurde. Spätestens seit dem Kaminsky-Angriff 2008 ist klar, dass DNS-Spoofing und Cache Poisoning keine theoretischen Risiken sind, sondern praktisch ausnutzbare Schwachstellen, die Unternehmen jeder Größe betreffen.

DNSSEC (Domain Name Security Extensions) schließt genau diese Lücke. Die Protokollerweiterung signiert DNS-Daten kryptografisch und ermöglicht es validierenden Resolvern, die Authentizität und Integrität jeder DNS-Antwort zu prüfen. Manipulierte Antworten werden erkannt und verworfen, bevor sie Schaden anrichten können. Gleichzeitig ist DNSSEC kein Allheilmittel: Es verschlüsselt keinen DNS-Verkehr (dafür gibt es DoH und DoT) und schützt nicht vor DDoS-Angriffen auf die DNS-Infrastruktur selbst. Doch für die Absicherung der Namensauflösung — und damit der Vertrauenskette, auf der TLS-Zertifikate, E-Mail-Routing und viele weitere Dienste aufbauen — ist DNSSEC unverzichtbar.

Was dieser Leitfaden liefert

Dieser Leitfaden führt Sie in acht Kapiteln durch die vollständige DNSSEC-Implementierung — von den Grundlagen über die praktische Einrichtung bis zum laufenden Betrieb und Troubleshooting. Jedes Kapitel ist praxisorientiert und enthält konkrete Konfigurationsschritte, die Sie direkt in Ihrer Umgebung umsetzen können.

Sie lernen, wie DNSSEC technisch funktioniert (Schlüssel, Signaturen, Chain of Trust), wie Sie DNSSEC für Ihre Webdomains bei verschiedenen Registraren und Cloud-DNS-Anbietern aktivieren, Zonen in Active Directory / Windows DNS und unter Linux mit BIND signieren, einen validierenden Resolver einrichten und ein Monitoring aufbauen, das abgelaufene Signaturen und fehlgeschlagene Validierungen frühzeitig erkennt. Das letzte Kapitel fasst alle Schritte in einer Checkliste zusammen und zeigt, wie DNSSEC mit weiterführenden Technologien wie DANE zusammenspielt.

Für wen ist dieser Leitfaden?

Der Leitfaden richtet sich an zwei Zielgruppen. IT-Administratoren und Systemadministratoren erhalten praxisnahe Anleitungen für die DNSSEC-Implementierung in verschiedenen Umgebungen — ob Cloud-DNS, Windows Server oder Linux. CISOs und Sicherheitsverantwortliche finden in Kapitel 1 den strategischen Kontext: Warum unsignierte Zonen ein Risiko darstellen, welche Compliance-Anforderungen (BSI-CS 121, BSI Grundschutz, NIS2) DNSSEC adressiert und wie der Business Case für die Implementierung aussieht.

Grundlegende Kenntnisse in DNS (was sind A-, MX- und TXT-Records) sind hilfreich, aber keine Voraussetzung — Kapitel 2 erklärt die technischen Grundlagen von Grund auf. Testen Sie vorab den DNSSEC-Status Ihrer Domain mit unserem kostenlosen DNSSEC-Check.