Zurück zur Zurück zur Website

Support-Übersicht

Plesk: DNSSEC aktivieren

Produkte:
Reseller Hosting
Webhosting

Einleitung

DNSSEC ist eine Erweiterung des Domain-Namen-Systems (DNS), die dazu dient, die Echtheit (Authentizität) und die Vollständigkeit (Integrität) der Daten von DNS-Antworten sicherzustellen.

Durch technische Massnahmen kann der anfragende Computer (z.B. Internet-Browser) somit erkennen, ob die Antwort beim Aufruf einer Internet-Adresse im DNS tatsächlich von jenem Server kommt, der bei uns als zuständig eingetragen ist. Gleichzeitig wird sichergestellt, dass diese Antwort auf dem Transport über das Internet nicht verändert wurde. Vereinfacht gesagt: DNSSEC ist eine Art Versicherung, die dem Internetnutzer garantieren soll, dass genau diejenige Website angezeigt wird, deren Adresse er eingegeben hat.

Zielpublikum

Diese Anleitung richtet sich an die zuständigen IT/Web-Verantwortlichen, die sich bereits mit der Thematik befasst haben und sich die Aktivierung von DNSSEC entsprechend zutrauen. Eine unsachgemäss Verwendung kann zum Ausfall der Domain führen.

Voraussetzungen

Die verwendete Domain-Endung (TLD) sowie die genutzte Domain-Registrierstelle (Registrar) müssen DNSSEC unterstützen, damit die erforderlichen DS bzw. DNSKEY-Einträge vorgenommen werden können. Es müssen ebenfalls zwingend die Plesk Nameserver (z.B. ns1/ns2.srv.metanet.ch) bei der Domain hinterlegt und in Plesk aktiv sein.

Funktionsumfang

Folgende Funktionen stehen zur Verfügung:

  • DNS-Zonen gemäss den DNSSEC-Spezifikationen signieren bzw. Signierung aufheben
  • Benutzerdefinierte Einstellungen für Schlüsselgenerierung angeben (optional)
  • Benachrichtigungen erhalten
  • DS-Ressourceneinträge aufrufen und kopieren
  • DNSKEY-Ressourceneinträge aufrufen und kopieren

Zugang

Die DNSSEC-Verwaltung ist in Plesk unter "Websites & Domains" -> "DNSSEC" zugänglich:

Aktivierung

1. DNS-Zone signieren

Mit einem Klick auf "DNS-Zone signieren" öffnet sich das Optionsfenster, um die abschliessende Konfiguration vor der initialen Signierung vornehmen zu können.

Sie können nun die Domain bzw. DNS-Zone mit den gewünschten Einstellungen signieren. Beachten Sie hierbei den Rollover-Zeitraum der Schlüsselsignaturschlüssel (KSK). DNSSEC-Schlüssel müssen regelmässig gewechselt werden: Ein ZSK sollte nach maximal 1 Jahr ausgetauscht werden und ein KSK sollte mindestens 2-jährlich ein Rollover erfahren. Der Unterschied zwischen einem ZSK- und einem KSK-Rollover ist, dass ein KSK-Rollover eine Interaktion mit der Domain-Registrierstelle erforderlich macht. Beachten Sie hierzu zwingend auch den Abschnitt "Aktualisierung", da dieser für den weiteren Betrieb von essentieller Bedeutung ist.

Nach der Signierung werden Ihnen die erforderlichen vier DS (bzw. zwei DNSKEY-Records) angezeigt.

2. DNSSEC aktivieren

Von den obengenannten 4 Einträge müssen nun die beiden mit dem Digest Type 2 - SHA -256 bei Ihrer Domain-Registrierstelle hinterlegt werden. Bei .ch werden DS-Records hinterlegt, bei z.B. .de DNSKEY (diese können separat via Funktion "DNSKEY-Einträge anzeigen" abgerufen werden). Falls die Registrierstelle nur 2 DS-Einträge erlaubt, verwenden Sie jeweils nur je 1 pro Key-Tag (z.B. nur SHA-2)

Das Vorgehen ist je nach Domain-Registrierstelle unterschiedlich. Falls die Domain bei uns registriert ist, finden Sie die passende Anleitung hierzu unter DNSSEC-Unterstützung.

Zur Illustration finden Sie nachfolgend die erforderlichen DS-Einträge auf my.metanet.ch für das oben gezeigte Beispiel:

Beispiel .ch-Domain (mit DS):

Alternativ-Beispiel für eine .de-Domain (mit DNSKEY) zur Illustration:

Bitte beachten Sie, dass es einen Moment dauern kann, bis die Domain-Registrierstelle die DNSSEC Einträge ordnungsgemäss erkennt, falls diese erst kürzlich im Plesk erstellt wurden. Sollten Sie somit eine Fehlermeldung beim Hinterlegen der Einträge erhalten, warten Sie ein paar Minuten ab und versuchen Sie erneut die Einträge zu hinterlegen.

Die zwingend erforderliche regelmässige Aktualisierung (anhand des gewählten KSK-Rollover Zeitraums) wird im nächsten Abschnitt behandelt.

Aktualisierung

Stellen Sie sicher, dass die in Plesk hinterlegte E-Mail-Adresse erreichbar ist. Die Meldung zum erforderlichen Schlüssel-Tausch (Key Rollover) wird nur an diese E-Mail-Adresse ausgelöst.

Um einen DNS-Ausfall für die signierte Domain zu verhindern, wird bewusst nicht nur je 1 KSK und ZSK verwendet. Ein zuvor generierter Schlüssel ist neben dem neuen Schlüssel für einige Zeit zusätzlich vorhanden, damit alle Änderungen in einer DNS-Zone umgesetzt werden. Obsolete Schlüssel werden automatisch entfernt.

KSK-Rollover

In Plesk wird eine Variante Double-RRset Methode für das KSK-Rollover eingesetzt. Hierbei sind jeweils 2 Schlüsselsignaturschlüssel in der Rollover-Phase vorhanden. Dadurch haben Sie genug Zeit, die entsprechenden DS bzw. DNSKEY-Einträge bei der Domain-Registrierstelle zu aktualisieren.

Sobald ein Rollover erfolgt, werden Sie per E-Mail darüber informiert, so dass Sie die DS bzw. DNSKEY-Einträge bei der Domain-Registrierstelle aktualisieren können. Die Einträge werden obsolet, wenn der älteste KSK abläuft und der neueste KSK generiert wird.

Beispiel-E-Mail:

Subject: <server.metanet.ch> DNSSEC KSK rollover occurred in the DNS zone max-muster.ch Please copy these new DS resource records and add them to the parent zone: max-muster.ch. IN DS 24034 8 1 7CC0A58B06796770E0883D5F679D5BF27908E444 max-muster.ch. IN DS 24034 8 2 4924471919E8C3B492F82B01FD304A88F70799486D715BBDF9611D9BFA45050A max-muster.ch. IN DS 58837 8 1 C866DE39DB0A9A87306E79F5ABB449A69D1E37EE max-muster.ch. IN DS 58837 8 2 45149531BC5654A17DC812EBDA2E6259996CB51BFF2D50963339B6BB64FAEA64

Das Vorgehen ist hierbei analog zur initialen Aktivierung. Tragen Sie hierfür die neu erhaltenen Einträge bei Ihrer Domain-Registrierstelle ein.

Die Einträge sind auch jederzeit via Plesk einsehbar.

ZSK-Rollover (zur Info)

Beim ZSK-Rollover ist keine Aktion Ihrerseits erforderlich.

Um genug Zeit für die Synchronisierung von DNS-Slave-Server und DNS-Caching-Server mit dem DNS-Master-Server zu erlauben, wird in Plesk Folgendes durchgeführt:

  • Ein neuer Schlüssel wird zu einem bestimmten Zeitpunkt vor dem Rollover zur Zone hinzugefügt.
  • Der vorherige Schlüssel wird zum gleichen Zeitpunkt nach dem Rollover entfernt.

Die Zeitspanne vor und nach dem ZSK-Rollover wird in Plesk Übergangszeitraum genannt. Der Übergangszeitraum ist entweder 30 Tage oder die Summe der SOA TTL- und SOA Expire-Werte der Zone (falls die Summe über 30 Tage liegt). Der Übergangszeitraum kann jedoch nicht länger sein als die halbe ZSK-Rollover-Dauer, da die Rollover-Funktion sonst unterbrochen wird und die Zonensignaturen ungültig werden.

Um sicherzustellen, dass das ZSK-Rollover korrekt durchgeführt wird, legt Plesk Grenzwerte für die folgenden Werte fest:

  • TTL- und Expire-Werte der Zone. Die Summe der beiden Werte darf einen bestimmten berechneten Wert nicht überschreiten.
  • ZSK-Rollover-Dauer: Sie kann nicht unter einem bestimmten berechneten Wert liegen.

Werkzeuge

Zur Überprüfung der Funktionsfähigkeit empfehlen wir folgende 2 Webseiten:

Artikel aktualisiert am 21.03.2024

Verwandte Artikel