Netzwerk-Diagnose-Tools

DNSSEC-Prüfung

Ist die Domain signiert und validiert?

esc
Ihre IP 8.8.8.8 oder google.com

DNS & Einträge

DNS-Abfrage Alle DNS-Einträge für jede Domain A-Eintrag-Abfrage IPv4-Adressen für eine Domain AAAA-Eintrag-Abfrage IPv6-Adressen für eine Domain MX-Abfrage Mailserver für eine Domain NS-Abfrage Autoritative Nameserver TXT-Abfrage TXT-Einträge, SPF, Verifizierung CNAME-Abfrage Kanonische Namen (Alias)-Einträge SOA-Abfrage Start-of-Authority-Eintrag SRV-Abfrage Dienst-Standort-Einträge CAA-Abfrage Welche CAs Zertifikate ausstellen dürfen Reverse DNS (PTR) IP-Adresse zu Hostname DNSSEC-Prüfung Ist die Domain signiert und validiert? DNS-Gesundheitscheck Ein vollständiger Bericht zu Delegierung & DNS

E-Mail-Zustellbarkeit

SPF-Prüfung Validieren Sie Ihren Sender-Policy-Framework-Eintrag DMARC-Prüfung Untersuchen und bewerten Sie Ihre DMARC-Richtlinie DKIM-Prüfung Finden und validieren Sie Ihren öffentlichen DKIM-Schlüssel Blacklist-Prüfung Prüfen Sie eine IP gegen E-Mail-Sperrlisten (DNSBLs) SMTP-Test Mit einem Mailserver verbinden und STARTTLS prüfen MTA-STS-Prüfung Erzwungene TLS-Richtlinie für eingehende Mails BIMI-Prüfung Markenlogo-Eintrag für E-Mail TLS-RPT-Prüfung SMTP-TLS-Berichtsrichtlinie

Netzwerk & Web

SSL-Zertifikat-Prüfung TLS-Zertifikat und Ablauf einer Website untersuchen HTTP-Header-Prüfung Antwort-Header, Weiterleitungen und Sicherheit untersuchen Ping (TCP) Erreichbarkeit und Latenz über TCP Port-Prüfung Welche gängigen Ports offen sind

Domain

WHOIS-Abfrage Registrierungsdaten für Domains, IPs und ASNs

Was ist DNSSEC?

DNSSEC (DNS Security Extensions) signiert DNS-Records kryptografisch, sodass Resolver verifizieren können, dass sie nicht manipuliert wurden, und schützt so vor Cache Poisoning und Spoofing. Es fügt eine Vertrauenskette über das gewöhnliche DNS hinzu, ohne die Bedeutung der Records zu verändern. IPeek fragt einen validierenden DNS-over-HTTPS-Resolver ab und meldet, ob die Domain signiert und authentifiziert ist.

Wie DNSSEC eine Vertrauenskette aufbaut

DNSSEC funktioniert, indem es jede Zone mit einem privaten Schlüssel signiert und den passenden öffentlichen Schlüssel im DNS veröffentlicht. Records werden signiert (RRSIG), Schlüssel werden veröffentlicht (DNSKEY), und ein Fingerabdruck des Zonen-Schlüssels (der DS-Record) wird in der übergeordneten Zone platziert. Das verknüpft Ihre Zone mit ihrer übergeordneten, die mit ihrer übergeordneten verknüpft ist, bis hinauf zur Wurzel – eine durchgehende Vertrauenskette. Ein validierender Resolver folgt dieser Kette von der Wurzel abwärts, prüft jede Signatur und vertraut nur Antworten, deren Signaturen verifizieren.

So lesen Sie Ihre DNSSEC-Prüfergebnisse

IPeek meldet, ob die Domain DNSSEC-signiert ist und ob ein validierender Resolver sie authentifiziert. Ein authentifiziertes Ergebnis (oft als AD-Flag, Authenticated Data, dargestellt) bedeutet, dass die Vertrauenskette intakt ist und die Records verifiziert sind. Ist die Domain unsigniert, ist DNSSEC schlicht nicht aktiviert – häufig und kein Fehler, aber es bedeutet, dass die Records nicht geschützt sind. Eine signierte Domain, die die Validierung nicht besteht, ist ernster: Sie deutet auf eine gebrochene Kette hin, meist einen fehlenden oder nicht passenden DS-Record beim Registrar.

Häufige DNSSEC-Probleme und ihre Behebung

Der häufigste Fehler ist eine gebrochene Vertrauenskette, bei der die Zone signiert ist, der DS-Record in der übergeordneten Zone aber fehlt, veraltet ist oder nicht zum aktuellen Schlüssel passt. Das lässt validierende Resolver SERVFAIL zurückgeben und kann die Domain für Nutzer hinter validierenden Resolvern vollständig offline nehmen. Es passiert meist bei Schlüsselrotationen oder wenn DNSSEC aktiviert wird, ohne den DS-Record zum Registrar hochzuladen. Beheben Sie es, indem Sie sicherstellen, dass der DS-Record beim Registrar zum aktiven Schlüssel Ihrer Zone passt, und entfernen Sie alte Schlüssel nie, bevor die DS-Aktualisierung propagiert ist.

Häufig gestellte Fragen

Was bedeutet es, wenn eine Domain DNSSEC-signiert ist?

Eine DNSSEC-signierte Domain hat kryptografische Signaturen auf ihren DNS-Records, sodass validierende Resolver bestätigen können, dass die Antworten echt und unverändert sind. Das Signieren allein reicht jedoch nicht: Die übergeordnete Zone muss zusätzlich einen passenden DS-Record halten, damit die Vertrauenskette die Domain erreicht. Eine signierte und korrekt delegierte Domain ist gegen Spoofing und Cache Poisoning geschützt.

Ist es ein Problem, wenn eine Domain nicht mit DNSSEC signiert ist?

Nein, eine unsignierte Domain ist kein Fehler – viele Domains nutzen DNSSEC nicht. Es bedeutet schlicht, dass die Records keinen kryptografischen Schutz tragen und theoretisch unterwegs gefälscht oder vergiftet werden könnten. Das Aktivieren von DNSSEC fügt diesen Schutz hinzu, ist aber optional und erfordert eine korrekte Einrichtung sowohl bei Ihrem DNS-Anbieter als auch beim Registrar.

Was ist ein DS-Record und warum ist er wichtig?

Ein DS-Record (Delegation Signer) ist ein Fingerabdruck des Signierschlüssels Ihrer Zone, veröffentlicht in der übergeordneten Zone beim Registrar. Er verknüpft Ihre signierte Zone mit der darüberliegenden Vertrauenskette. Fehlt der DS-Record oder passt er nicht zu Ihrem aktuellen Schlüssel, können validierende Resolver die Domain nicht verifizieren und lassen sie unter Umständen vollständig scheitern – den DS synchron zu halten ist daher entscheidend.

Was bedeutet das AD-Flag in einem DNSSEC-Ergebnis?

AD steht für Authenticated Data. Wenn ein validierender Resolver das AD-Flag setzt, bestätigt er, dass die DNSSEC-Signaturen der Antwort geprüft und die Vertrauenskette erfolgreich verifiziert wurde. Sein Fehlen bei einer signierten Domain kann auf einen Validierungsfehler hindeuten oder darauf, dass der Resolver nicht validiert hat. IPeek nutzt einen validierenden Resolver, sodass das Flag echte Authentifizierung widerspiegelt.

Warum würde eine DNSSEC-signierte Domain die Validierung nicht bestehen?

Die übliche Ursache ist eine gebrochene Vertrauenskette: Der DS-Record beim Registrar fehlt, ist veraltet oder passt nicht zum aktiven Schlüssel der Zone, oft nach einer Schlüsselrotation. Validierende Resolver geben dann SERVFAIL zurück, was die Domain für betroffene Nutzer unerreichbar machen kann. Den DS-Record des Registrars mit dem aktuellen Signierschlüssel anzugleichen behebt es.

Verwandte Tools

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어