DNSSEC mit Plesk und Hosttech korrekt einrichten
DNSSEC sorgt dafür, dass DNS-Antworten kryptographisch signiert sind und schützt so vor Manipulationen wie DNS-Spoofing. In dieser Anleitung zeige ich, wie DNSSEC auf einem Plesk-Server aktiviert und die benötigten DS-Records korrekt beim Domainprovider Hosttech hinterlegt werden.
Voraussetzungen
- Plesk Server mit aktivierter DNSSEC-Funktion
- Domain bei Hosttech registriert
- Zugriff auf beide Verwaltungsoberflächen
Schritt 1: DNSSEC in Plesk aktivieren
- In Plesk zu Websites & Domains navigieren
- Domain auswählen
- Menüpunkt DNSSEC öffnen
- DNSSEC aktivieren und Schlüssel generieren
Nach der Aktivierung erstellt Plesk automatisch die notwendigen Schlüssel (KSK und ZSK) sowie die dazugehörigen DS-Records.
Schritt 2: DS-Records aus Plesk auslesen
Nach der Aktivierung zeigt Plesk die sogenannten DS Resource Records an. Diese sehen typischerweise so aus:
domain.ch. IN DS 44046 10 1 ABCDEF...
domain.ch. IN DS 44046 10 2 ABCDEF...
domain.ch. IN DS 37092 10 1 ABCDEF...
domain.ch. IN DS 37092 10 2 ABCDEF...Aufbau eines DS-Records
Ein DS-Record besteht aus vier relevanten Werten:
<Key Tag> <Algorithm> <Digest Type> <Digest>Beispiel:
- Key Tag: 44046
- Algorithm: 10 (RSASHA512)
- Digest Type: 2 (SHA-256)
- Digest: Hashwert
Schritt 3: DS-Records bei Hosttech eintragen
Im Hosttech Control Panel findest du im DNSSEC-Bereich folgende Eingabefelder:
- Key Tag
- Algorithm
- Digest Type
- Digest
Wichtig:
Jeder DS-Record muss einzeln erfasst werden.
Empfohlene Konfiguration
Plesk generiert in der Regel mehrere DS-Records pro Schlüssel, da verschiedene Digest-Typen verwendet werden.
Typischerweise:
- Digest Type 1 (SHA-1)
- Digest Type 2 (SHA-256)
Best Practice
Da SHA-1 als veraltet gilt, empfiehlt es sich, nur die sicheren SHA-256 Records zu verwenden.
Beispiel (empfohlen):
| Key Tag | Algorithm | Digest Type | Digest |
|---|---|---|---|
| 44046 | 10 | 2 | ABCDEF… |
| 37092 | 10 | 2 | ABCDEF… |
Typische Fehlerquellen
- ❌ DNSKEY statt DS-Record eingetragen
- ❌ Digest mit Leerzeichen oder Zeilenumbrüchen
- ❌ Nicht alle notwendigen Records übernommen
- ❌ DNSSEC im Plesk aktiviert, aber keine DS-Records beim Provider gesetzt
Schritt 4: DNSSEC Validierung prüfen
Nach dem Eintrag kann es einige Zeit dauern, bis DNSSEC vollständig aktiv ist (Propagation).
Zur Überprüfung eignen sich folgende Tools:
Erwartetes Ergebnis:
- Keine Validierungsfehler
- Vertrauenskette vollständig
Hintergrundwissen
- KSK (Key Signing Key) signiert den ZSK
- ZSK (Zone Signing Key) signiert die DNS-Zone
- DS-Record verbindet deine Domain mit der übergeordneten Zone (.ch)
Nur wenn dieser DS-Record korrekt beim Registrar hinterlegt ist, funktioniert die DNSSEC-Vertrauenskette.
Zu beachten
Die Aktivierung von DNSSEC mit Plesk und Hosttech ist technisch einfach, erfordert jedoch sauberes Arbeiten beim Übertragen der DS-Records. Besonders wichtig ist die korrekte Auswahl und Eingabe der Werte sowie eine anschliessende Validierung.
Mit der Verwendung von SHA-256 (Digest Type 2) bist du zudem auf dem aktuellen Stand der Sicherheit.
Schreibe einen Kommentar