DNSSEC
DNSSEC ist die Abkürzung für 'Domain Name System Security Extensions'. Es handelt sich um eine Reihe von Erweiterungen für das Domain Name System (DNS), die es Benutzer im Wesentlichen ermöglichen, die Authentizität und Integrität von DNS-Einträgen zu überprüfen.
Damit eine Domain DNSSEC nutzen kann, ist folgendes erforderlich:
- der Domaintyp (TLD) muss DNSSEC unterstützen (seitens der Registry)
- der Registrar der Domain muss es ermöglichen, DNSSEC für eine Domain zu "aktivieren" und zu konfigurieren
- die konfigurierten Nameserver müssen DNSSEC unterstützen
- die Clients (z.B. Browser) müssen DNSSEC nutzen
Sie finden auf Wikipedia oder auch hier Einführungen und Erklärungen zum Thema.
DNSSEC bei Joker.com
Joker.com ermöglicht es Ihnen, DNSSEC für praktisch alle Ihre Domains zu 'aktivieren' und zu konfigurieren. Die allermeisten Domaintypen (Endungen) unterstützen DNSSEC. Derzeit ist DNSSEC lediglich bei .ws und .cn nicht möglich.
Bitte beachten Sie: Joker.com unterstützt sowohl DNSSEC mit den standard Joker.com Nameservern, als auch mit Domains, die externe Nameserver benutzen.
- Für normale Domains mit Joker.com Nameserver: Um DNSSEC zu aktivieren, klicken Sie auf "DNS" auf Ihrem Dashboard neben dem Domainnamen. Dort finden Sie die Schaltfläche "DNSSEC aktivieren". Wenn Sie danach "Änderungen speichern" klicken, ist DNSSEC aktiviert.
- Für DNSSEC mit eigenen/externen Nameservern: Unten finden Sie unsere genaue Anleitung wie man DNSSEC mit einer Joker.com-Domain und einem DNS-Hosting-Provider verwendet.
Um zu prüfen, ob Ihre Domain ordnungsgemäss mit DNSSEC arbeitet, können Sie z.B. den DNSSEC-Analyzer nutzen.
Wiederverkäufer finden entsprechende Befehle, um DNSSEC mit DMAPI und RPanel zu betreiben.
Schritt-für-Schritt: DNSSEC mit einer Joker.com-Domain und einem DNS-Hosting-Provider verwenden
Worum es geht:
- Sie möchten DNSSEC mit Domains von Joker.com verwenden.
- Sie verwenden einen externen Nameservice, z.B. von einem Dienstanbieter, oder Ihren eigenen.
Damit dies funktioniert, muss die Domain mit dem externen Namensdienst "verknüpft" werden:
1. Einrichten der DNS-Zone und der Datensätze beim DNS-Hosting-Provider
Jeder DNS-Hosting-Provider hat seine eigene Weboberfläche und sein eigenes System zum Hinzufügen von Datensätzen. Hier müssen Sie die benötigten Zonendatensätze erstellen, wie z.B. A-Records, um IPv4-Adressen zu einem Hostnamen hinzuzufügen.
2. Weiter beim DNS-Hosting-Provider
signieren Sie die Domain mit DNSSEC. Dies setzt natürlich voraus, dass Ihr DNS-Anbieter DNSSEC unterstützt.
Das Endergebnis ist, dass Sie eine signierte Domain mit einem DS-Eintrag haben. Diese Informationen (DS-Eintrag) benötigen Sie später auf Joker.com.
3. Auf Joker.com
Ändern Sie die Nameserver für die Domain, um auf die Nameserver des DNS-Hosting-Providers zu verweisen.
Es sollte jetzt so aussehen:
Diese Änderungen können einige Zeit in Anspruch nehmen, bis sich diese über die größere DNS-Infrastruktur verbreitet haben. Bis dahin können noch DNS-Einträge von den vorherigen Name-Servern zu sehen sein.
Jetzt haben Sie beim DNS-Hosting-Provider eine mit DNSSEC signierte Domain, und die Nameservereinträge auf Joker.com so geändert, dass sie auf die Nameserver des DNS-Hosting-Providers verweisen.
Fast fertig!
Wenn Sie Ihre Domain nun mit dem DNSSEC-Analysator-Tool ausführen, sehen Sie immer noch ein Problem: "Keine DS-Einträge gefunden".
Das bedeutet, dass Sie auf Joker.com noch einen so genannten Delegation Signer (DS) Record anlegen müssen.
4. DS-Record bei Joker.com anlegen
- nochmal auf Joker.com "Domainverwaltung" aufrufen
- Jetzt finden Sie Ihre neuen Nameserver aufgelistet, und daneben einen DNSSEC Dialog:
- Klicken Sie auf '
' bei DNSSEC - danach sollte es ungefähr wie folgt aussehen - bitte überprüfen Sie die sichtbaren Angaben mit denen, die Sie in Schritt 2 erzeugt haben:
-
Tag wird vom Schlüssel abgeleitet (vom DNS-Betreiber bereitgestellt)
-
Digest-Typ ist 1 (SHA-1, deprecated) oder 2 (SHA-256)
- Digest selbst: bis zu 40 Hex-Ziffern für SHA-1 und bis zu 64 Hex-Ziffern für SHA-256
- Klicken Sie "Speichern", und Sie sind fertig - Ihre Domain ist nun DNSSEC-signiert.
5. Überprüfen Sie abschließend, ob DNSSEC funktioniert
Z.B. mit einem Online-Tool wie Verisign Labs’ DNSSEC Analyzer. Es sollten nun überall grüne Haken zu sehen sein als Zeichen, dass DNSSEC korrekt funktioniert. Bitte beachten Sie, dass Ihre Änderungen hier durchaus etwas Zeit benötigen, bis sie wirksam werden.
Wenn Sie diesen Schritten gefolgt sind, haben Sie nun ein funkionierendes DNSSEC bei einer Joker.com-Domain, die externe Nameserver benutzt.
Inzwischen gibt es gute Nachrichten: DNSSEC können Sie jetzt auch mit den regulären Joker.com-Nameservern kostenlos nutzen! Dies ist für Sie natürlich viel einfacher, da Sie keine externen Nameserver-Einträge pflegen müssen und DNSSEC vollständig in das Webportal von Joker.com integriert ist.