Konfigurieren von DNSSEC für eine Domain
DNSSEC ist die Erweiterung des DNS-Protokolls, die die Signierung von DNS-Daten ermöglicht, um die Sicherheit bei der Auflösung von Domainnamen zu gewährleisten. Allgemeine Informationen zu DNSSEC und der Nutzung finden Sie auf der ICANN-Website und unter https://tools.ietf.org/html/rfc6781.
Hinweis: DNSSEC wird in Plesk für Linux unterstützt. Die Erweiterung Plesk DNSSEC muss in Plesk vom Hosting-Provider installiert werden.
Sie können folgende Aktionen zum Schutz der DNS-Daten Ihrer Domains mithilfe von DNSSEC ausführen:
- Domainzonen gemäß den DNSSEC-Spezifikationen signieren und Signierung aufheben
- (Optional) Benutzerdefinierte Einstellungen für Schlüsselgenerierung angeben
- Benachrichtigungen erhalten
- DS-Ressourceneinträge aufrufen und kopieren
- DNSKEY-Ressourceneinträge aufrufen und kopieren
Signieren einer Domainzone
Um den DNSSEC-Schutz für Ihre DNS-Zone zu verwenden, signieren Sie diese Zone. In Plesk wird die Zone mit einer automatisch generierten Signatur signiert, die zwei asymmetrische Schlüsselpaare enthält: Schlüsselsignaturschlüssel (KSK) und Zonensignaturschlüssel (ZSK).
So signieren Sie eine Domainzone:
- Wählen Sie die Domain in Websites & Domains aus.
- Rufen Sie DNSSEC auf und klicken Sie auf DNS-Zone signieren.
- Falls die Zone noch nie signiert wurde, werden Sie in Plesk aufgefordert, die Schlüssel zu erstellen, mit denen die Signatur generiert wird.
Sie können die Standardwerte verwenden oder benutzerdefinierte Werte angeben. Empfohlene Werte finden Sie unten.
- Wenn die DNS-Zone bereits signiert war, können Sie entweder die zuvor generierten Schlüssel verwenden oder neue erstellen. Wenn Sie neue Schlüssel erstellen möchten, können Sie die Standardwerte verwenden oder benutzerdefinierte Werte angeben. Empfohlene Werte finden Sie unten.
Empfohlene Einstellungen für die Generierung von KSK und ZSK:
- Langer Schlüssel und langer Rollover-Zeitraum für KSK
Bei jedem Update des Schlüsselsignaturschlüssels (KSK) müssen die DS-Einträge in der übergeordneten Zone aktualisiert werden. Dank der empfohlenen Werte können DS-Einträge so selten wie möglich aktualisiert werden, ohne dabei die Sicherheit zu verringern.
- Kürzerer Schlüssel und kürzerer Rollover-Zeitraum für ZSK
Der Zonensignaturschlüssel (ZSK) wird automatisch aktualisiert. Mit den empfohlenen Werten können Sie Systemressourcen einsparen, ohne dabei die Sicherheit einzuschränken.
- Langer Schlüssel und langer Rollover-Zeitraum für KSK
- Am Ende des Signaturprozesses werden in Plesk DS-Einträge angezeigt, die Hashes der für das Signieren der Zone verwendeten Schlüsselsignaturschlüssel enthalten.
Kopieren Sie die DS-Ressourceneinträge in die Zwischenablage und fügen Sie sie dann zur übergeordneten Domainzone hinzu. Weitere Informationen finden Sie unten in Aktualisieren von DS-Einträgen in der übergeordneten Zone.
Aktualisieren von DS-Einträgen in der übergeordneten Zone
Wenn die übergeordnete Zone veraltete DS-Einträge enthält, wird der Domainname nicht mehr vom DSN-Dienst aufgelöst.
Sie müssen DS-Einträge in der übergeordneten Domainzone manuell hinzufügen oder aktualisieren, wenn DNSSEC-Schlüssel aktualisiert wurden. Hier einige Beispiele:
- Sie haben eine Domainzone mit neu generierten Schlüsseln signiert.
- Ein KSK-Rollover wurde durchgeführt.
Sie erhalten entsprechende Benachrichtigungen von Plesk und haben Zeit, die DS-Einträge zu aktualisieren. Dieser Zeitraum entspricht der Dauer eines KSK-Rollovers. In diesem Zeitraum sind die vorherigen DS-Einträge noch gültig.
Wenn Sie die Signatur der Zone entfernen, müssen Sie die DS-Einträge in der übergeordneten Domainzone manuell löschen.
So aktualisieren Sie DS-Einträge in der übergeordneten Zone:
Aktualisieren Sie die DS-Einträge für eine Domain in Plesk, deren übergeordnete Zone außerhalb von Plesk liegt, beim Domainregistrar.
Wenn Sie eine Subdomain einer in Plesk gehosteten Domain und die DNS-Zone in Plesk haben, gehen Sie so vor:
- Rufen Sie die DNS-Einstellungen der übergeordneten Domain auf (Websites & Domains > übergeordnete Domain > DNS-Einstellungen).
- Fügen Sie neue DS-Einträge hinzu (Eintrag hinzufügen) und fügen Sie die Werte ein, die in Plesk in den DNSSEC-Einstellungen der Subdomain im Feld DS-Ressourceneinträge angezeigt werden.
Entfernen der Signatur einer Domainzone
Wenn Sie die Signatur einer Domainzone entfernen, wird der DNSSEC-Schutz für die Zone deaktiviert. Sie müssen die Signatur einer Zone möglicherweise entfernen, wenn sie kompromittiert wurde. Sie können die Zone anschließend mithilfe von neuen Schlüsseln wieder signieren.
So entfernen Sie die Signatur eine Domainzone:
- Rufen Sie Websites & Domains > die entsprechende Domain > DNSSEC auf und klicken Sie auf Signatur entfernen.
- Löschen Sie die DS-Ressourceneinträge aus der übergeordneten Zone. Wenn Sie dies nicht machen, wird die Domain nicht aufgelöst.
Hinweis: Wenn Sie die Signatur einer Zone entfernen, werden die Schlüssel nicht aus Plesk gelöscht. Sie können die Zone erneut mit den vorhandenen Schlüsseln signieren.
Anzeigen von DNSKEY-Ressourceneinträgen
Sie müssen möglicherweise DNSKEY-Ressourceneinträge abrufen, die öffentliche Bestandteile der von einer Domain verwendeten Schlüsselsignaturschlüssel enthalten.
So zeigen Sie DNSKEY-Einträge an:
- Rufen Sie Websites & Domains > die entsprechende Domain > DNSSEC auf.
- Klicken Sie auf DNSKEY-Einträge anzeigen.