Einführung
DNSSEC ist eine Erweiterung des Domain-Namen-Systems (DNS), die dazu dient, die Echtheit (Authentizität) und die Vollständigkeit (Integrität) der Daten von DNS-Antworten sicherzustellen.
Durch technische Massnahmen kann der anfragende Computer (z.B. Internet-Browser) somit erkennen, ob die Antwort beim Aufruf einer Internet-Adresse im DNS tatsächlich von jenem Server kommt, der bei uns als zuständig eingetragen ist. Gleichzeitig wird sichergestellt, dass diese Antwort auf dem Transport über das Internet nicht verändert wurde. Vereinfacht gesagt: DNSSEC ist eine Art Versicherung, die dem Internetnutzer garantieren soll, dass genau diejenige Website angezeigt wird, deren Adresse er eingegeben hat.
Geltungsbereich
Die DNSSEC-Unterstützung ist derzeit auf das Angebot "Domain Service" (resp. auf die Domain-Verwaltung) sowie die Nameserver der Webhosting-Server beschränkt. Das heisst, die zuständigen Nameserver müssen DNSSEC-fähig sein und eine signierte DNS-Zone zur Verfügung stellen können.
Folgende METANET Nameserver unterstützen DNSSEC:
- ns1/ns2.SERVERNAME.metanet.ch ns1/ns2.SERVERNAME.sui-inter.net
Folgende METANET Nameserver unterstützen DNSSEC nur für .ch und .li Domains die bei METANET registriert sind. Die Aktivierung erfolgt automatisch:
- ch/nl.pro.io/p.dnh.net - my.metanet.ch Nameserver
- ns/ns2/ns3.ch-meta.net - Managed Nameserver
- ns/ns2.ch-inter.net - Managed Nameserver
Folgende von METANET verwalteten Nameserver sind derzeit noch nicht DNSSEC-fähig:
- ch/de/nl.ch-inter.net
Verfügbarkeit
Domain-Endungen (TLD)
Ob die gewünschte Domain-Endung DNSSEC unterstützt, können Sie in der jeweiligen Info-Box unter https://order.metanet.ch/domains.html einsehen.
Beispiel: .ch
Eingehende Transfers
Bei einzelnen Domain-Endungen können bestehende DNSSEC-Daten nicht sauber übernommen werden und DNSSEC wird mit dem erfolgreichen Transfer zu METANET deaktiviert. Ob die gewünschte Domain-Endung davon betroffen ist, wird auch in der Domain Info-Box ausgegeben. In diesen Fällen können Sie die DNSSEC-Daten jederzeit nach Abschluss des Transfers bei uns wieder nachtragen.
Aktivierung
Wechseln Sie hierzu in der Domainverwaltung auf Domain-Ebene zum Reiter "DNSSEC":
Damit Sie DNSSEC für Ihre Domain aktivieren können, muss die DNS-Zone auf dem autoritativen Nameserver korrekt signiert sein.
Wenn Sie die Plesk Nameserver verwenden, ist diese Signierung mit dieser Anleitung möglich: Plesk: DNSSEC aktivieren
Falls dies nicht der Fall sein sollte, kann die Aktivierung nicht stattfinden und es wird folgende Meldung ausgegeben:
Sind die Signaturen korrekt hinterlegt, können Sie mit einem Klick auf "weiter ..." mit der Aktivierung fortfahren:
Nun können die Ressourcen-Einträge hinterlegt werden. Je nach gewählter Domain-Endung werden DS bzw. DNSKEY-Einträge erwartet:
DS
DNSKEY
Deaktivierung
Eine Deaktivierung ist bei .ch und .li Domains bei Verwendung der my.metanet.ch und Managed Nameserver nicht möglich.
Sollten Sie DNSSEC nicht mehr benötigen, können Sie dies mit der Funktion "DNSSEC deaktivieren" jederzeit abschalten:
Artikel aktualisiert am 24.05.2023