ServerRecords

Hilfe & Fehlerbehebung

DS-Eintrag

Worum es geht

Der DS-Eintrag (Delegation Signer) lebt in der übergeordneten Zone (z. B. .com) und enthält einen Hash des Key Signing Key deiner Zone. Er ist es, der deine DNSSEC-Schlüssel in die globale Vertrauenskette einbindet, und er wird über deinen Registrar verwaltet.

So liest du dein Ergebnis

Wenn deine Zone signiert ist, sollte ein DS existieren und sein Key-Tag sollte deinem aktuellen KSK entsprechen. Ein DS ohne passenden DNSKEY — oder ein DNSKEY ohne DS — sind die beiden defekten Halb-Zustände, bei denen Handlungsbedarf besteht.

Häufige Probleme und wie du sie behebst

Veralteter DS-Eintrag nach einem Wechsel des DNS-Anbieters

Wie es sich zeigt: Die Domain lässt sich für manche Nutzer auflösen und liefert für andere SERVFAIL; die Fehler begannen direkt nach einer Nameserver-Änderung.

So behebst du es: Melde dich beim Registrar an und lösche den alten DS-Eintrag (oder ersetze ihn durch einen, der zu den Schlüsseln des neuen Anbieters passt, falls der neue Anbieter die Zone signiert). Das ist der bei weitem häufigste DNSSEC-Ausfall.

Zone ist signiert, aber es wurde nie ein DS veröffentlicht

Wie es sich zeigt: DNSSEC bietet keinen Schutz — validierende Resolver behandeln die Zone als unsigniert, obwohl nichts kaputt ist.

So behebst du es: Hole dir die DS-Daten (Key-Tag, Algorithmus, Digest) von deinem DNS-Anbieter und trage sie bei deinem Registrar ein. Viele Registrar-Panels haben dafür einen eigenen DNSSEC-Bereich.

DS verwendet einen veralteten Digest (SHA-1)

Wie es sich zeigt: Manche Prüfer warnen oder verweigern; Sicherheitsaudits beanstanden es.

So behebst du es: Veröffentliche einen neuen DS mit Digest-Typ 2 (SHA-256) und entferne den SHA-1-DS.

Abfrage für diesen Eintrag starten