Zum Hauptinhalt springen

DNSSEC Checker

Validiere die DNSSEC-Vertrauenskette deiner Domain

Über 30 % der weltweiten DNS-Resolver validieren DNSSEC : ein einziger Fehler in der Vertrauenskette genügt, damit deine Domain für diese Nutzer unerreichbar wird. Dieses Tool prüft jedes Glied, von der DNS-Root bis zu deiner Zone, und erkennt Probleme bevor sie einen Ausfall verursachen.

Modus

Vollständige Vertrauenskette

Prüfung Zone für Zone von der Root (.) bis zu deiner Domain, mit Validierung jeder DS/DNSKEY-Delegation.

Erkennung schwacher Algorithmen

Identifiziert veraltete Signaturalgorithmen (RSAMD5, DSA) und veraltete Digests (SHA-1) gemäß RFC 8624.

Verwaiste DS und Inkonsistenzen

Erkennt DS-Einträge, die beim Parent veröffentlicht sind, ohne passende DNSKEY in der Child-Zone.

Prüfung der RRSIG-Signaturen

Validiert jede RRSIG-Signatur auf den DS- und DNSKEY-RRSets und prüft, ob sie innerhalb ihres Gültigkeitsfensters liegen.

Detaillierte Diagnosen

Vollständiger Bericht mit Fehlern, Warnungen und Informationen, nach Schweregrad sortiert für jede Zone der Kette.

Warum DNSSEC prüfen?

DNSSEC (DNS Security Extensions) fügt dem DNS eine kryptografische Verifizierungsschicht hinzu. Ohne DNSSEC kann ein Angreifer DNS-Antworten fälschen, um den Datenverkehr auf bösartige Server umzuleiten (Cache Poisoning).

Ein verwaister DS-Eintrag oder eine unvollständige Schlüsselrotation kann dazu führen, dass validierende Resolver (Google Public DNS, Cloudflare 1.1.1.1) deine Domain mit SERVFAIL beantworten, ein stiller Fehler, den kein HTTP-Monitoring erkennt.

Drei Gründe, dein DNSSEC zu prüfen:

  • Sicherheit: Sicherstellen, dass die Vertrauenskette intakt ist und Besucher tatsächlich deine Server erreichen
  • Compliance: Immer mehr Organisationen fordern DNSSEC für sensible Domains (Banken, Behörden, Gesundheitswesen)
  • Problemerkennung: Verwaiste DS, schwache Algorithmen oder abgelaufene Signaturen erkennen, bevor sie Ausfälle verursachen

So verwendest du den DNSSEC Checker in 3 Schritten

Schritt 1: Gib deine Domain ein

Gib den zu prüfenden Domainnamen ein (z.B. cloudflare.com oder nic.fr). Das Tool akzeptiert jede Domain, ob DNSSEC-signiert oder nicht.

Schritt 2: Analysiere den Bericht Zone für Zone

Das Tool durchläuft die Vertrauenskette von der DNS-Root:

  • Root (.): Prüfung der Trust Anchors
  • TLD (z.B. .com): Prüfung der DS und DNSKEY des TLD
  • Deine Domain: Prüfung der DS, DNSKEY und RRSIG

Für jede Zone siehst du die DS-Einträge, DNSKEY und RRSIG-Signaturen mit ihrem Validierungsstatus.

Schritt 3: Erkannte Probleme beheben

Der Bericht identifiziert klar:

  • Fehler (gebrochene Kette, ungültige Signaturen)
  • Warnungen (verwaiste DS, schwache Algorithmen)
  • Informationen (CSK erkannt, NS außerhalb des Bailiwicks)

Was ist die DNSSEC-Vertrauenskette?

Die DNSSEC-Vertrauenskette funktioniert wie eine Reihe von kaskadierten Prüfungen:

Root (.)
  |-- DS des TLD --> verifiziert die DNSKEY des TLD
  |-- Die ZSK des TLD signiert den DS deiner Domain
        |-- DS deiner Domain --> verifiziert deine DNSKEY (KSK)
        |-- Deine KSK signiert das DNSKEY RRSet
        |-- Deine ZSK signiert die Daten (A, MX, SOA, NS)

Jedes Glied hängt vom vorherigen ab. Wenn ein einziges gebrochen ist, schlägt die gesamte Validierung fehl.

Was prüft das Tool genau?

ElementBeschreibungErgebnis
DS RecordsBeim Parent veröffentlichte DS-EinträgeMatch mit DNSKEY, verwaiste, schwacher Digest
DNSKEY RecordsÖffentliche Schlüssel der Zone (KSK/ZSK)Vorhandensein, Algorithmus, DS-Zuordnung
RRSIG auf DSSignatur des DS RRSet durch die ZSK des ParentKryptografische Gültigkeit
RRSIG auf DNSKEYSignatur des DNSKEY RRSet durch die KSKKryptografische Gültigkeit
AlgorithmenTyp des SignaturalgorithmusErkennung veralteter Algorithmen (RFC 8624)
DS-DigestsHash-Typ des DSErkennung veralteter SHA-1

Häufige Diagnosen und Lösungen

Verwaister DS (DNSSEC_DS_ORPHAN)

Symptom: Ein DS-Eintrag ist beim Parent veröffentlicht, aber keine entsprechende DNSKEY existiert in deiner Zone.

Wahrscheinliche Ursache: Unvollständige Schlüsselrotation oder alter Schlüssel wurde vor dem DS gelöscht.

Maßnahme: Entferne den verwaisten DS bei deinem Registrar oder füge die entsprechende DNSKEY in deiner Zone hinzu.

Schwacher Algorithmus (DNSSEC_WEAK_ALGO)

Symptom: Deine Zone verwendet einen als unsicher geltenden Signaturalgorithmus.

Maßnahme: Plane eine Migration zu ECDSAP256SHA256 (Algorithmus 13) oder ED25519 (Algorithmus 15).

SHA-1-Digest (DNSSEC_WEAK_DIGEST)

Symptom: Dein DS verwendet SHA-1 als Digest-Typ.

Maßnahme: Füge parallel einen DS mit SHA-256 (Typ 2) hinzu und entferne den SHA-1-DS, sobald die Propagation abgeschlossen ist.

Konkrete Anwendungsfälle

DNSSEC-Aktivierung

Du hast gerade DNSSEC bei deinem Registrar aktiviert. Starte eine Prüfung, um sicherzustellen, dass der beim Parent veröffentlichte DS-Eintrag zur DNSKEY deiner Zone passt und die Vertrauenskette vollständig ist.

Schlüsselrotation (Key Rollover)

Nach einem Key Rollover prüfst du, ob verwaiste DS-Einträge zurückgeblieben sind. Ein alter, nicht entfernter DS bricht die Auflösung nicht, signalisiert aber eine unvollständige Konfiguration und kann künftige Rollovers erschweren.

DNS-Provider-Migration

Du migrierst zu Cloudflare, Route 53 oder einem anderen DNS-Hoster. Prüfe, ob die DS-Einträge beim Registrar auf die neuen DNSKEY des Providers zeigen und nicht auf die alten Schlüssel.

Prüfe jetzt deine Domain: Gib sie oben in das Eingabefeld ein und erhalte in Sekunden einen vollständigen Bericht.

Ergänzende Tools

ToolNutzen
DNS Domain CheckVollständiges Audit der DNS-Konfiguration inkl. grundlegender DNSSEC-Prüfung
DNS LookupDS-, DNSKEY- oder RRSIG-Einträge manuell abfragen
DNS Propagation TestPropagation von DNSSEC-Änderungen weltweit überprüfen

Nützliche Ressourcen