ZenovayTools

DNSSEC-Prüfer

Überprüfen Sie, ob eine Domäne DNSSEC aktiviert hat und ordnungsgemäß validiert ist. Überprüft das AD-Flag (Authenticated Data), DNSKEY- und DS-Datensätze und den verwendeten Algorithmus. Erkennt unterbrochene oder fehlende DNSSEC-Ketten.

So verwenden Sie DNSSEC-Prüfer

  1. 1Geben Sie Ihren Domänennamen ein (z. B. example.com).
  2. 2Das Tool fragt DNS-Resolver mit aktivierter DNSSEC-Validierung ab.
  3. 3DNSKEY- und DS-Datensätze werden abgerufen und das AD-Flag (Authenticated Data) wird überprüft.
  4. 4Eine Bewertung A-F spiegelt Ihre DNSSEC-Konfiguration wider — A bedeutet vollständig validiert, F bedeutet fehlend oder unterbrochen.
ZenovayAnalytics

Analytics ganz ohne Cookie-Banner.

  • Besucher-Tracking in Echtzeit
  • Datenschutz zuerst, kein Cookie-Banner
  • In zwei Minuten eingerichtet
Zenovay entdecken

Verwandte Tools

Passwort-Generator
Generieren Sie starke, zufällige Passwörter mit anpassbarer Länge, Zeichen und Komplexität.
Passwort-Stärke-Prüfer
Überprüfen Sie, wie stark Ihr Passwort ist. Erhalten Sie eine geschätzte Knackzeit und Verbesserungsvorschläge.
HMAC-Generator
Generieren Sie HMAC-Signaturen mit SHA-256, SHA-384 oder SHA-512 mit der Web Crypto API.
AES-Verschlüsselung/Entschlüsselung
Verschlüsseln und entschlüsseln Sie Text mit AES-GCM und PBKDF2-Schlüsselableitung. Läuft vollständig in Ihrem Browser.

Häufig gestellte Fragen

Was ist DNSSEC und warum ist es wichtig?
DNSSEC (DNS Security Extensions) fuegt kryptografische Signaturen zu DNS-Einträgen hinzu und verhindert, dass Angreifer DNS-Antworten fälschen können. Ohne DNSSEC kann ein Angreifer auf dem Netzwerkpfad (oder ein kompromittierter DNS-Resolver) Ihre Domain auf einen schaedlichen Server umleiten - ein DNS-Spoofing- oder Cache-Poisoning-Angriff. DNSSEC erstellt eine Vertrauenskette von der ICANN-Root-Zone bis zu Ihrer Domain und macht gefälschte DNS-Antworten erkennbar und ablehnbar.
Was ist das AD-Flag und was bedeutet es?
AD steht für Authenticated Data. Wenn ein DNSSEC-validierender Resolver (wie Cloudflare 1.1.1.1 oder Google 8.8.8.8) alle DNSSEC-Signaturen in der Vertrauenskette für eine DNS-Antwort erfolgreich verifiziert, setzt er das AD-Bit in der Antwort. Ein AD=true-Ergebnis bedeutet, dass ein validierender Resolver die Authentizitaet der Antwort bestaetigt hat. AD=false mit vorhandenen DNSKEY-Einträgen bedeutet, dass Signaturen existieren, die Validierung aber möglicherweise fehlschlaegt.
Was ist der Unterschied zwischen DNSKEY- und DS-Einträgen?
DNSKEY-Einträge befinden sich in Ihrer Zone und enthalten die öffentlichen Schlüssel zum Signieren Ihrer DNS-Einträge. Es gibt zwei Typen: KSK (Key Signing Key, flags=257), der andere DNSKEY-Einträge signiert, und ZSK (Zone Signing Key, flags=256), der Ihre eigentlichen DNS-Einträge signiert. DS-Einträge (Delegation Signer) befinden sich in der übergeordneten Zone (Ihrem Registrar) und enthalten einen Hash Ihres KSK - sie bilden die Verbindung zwischen übergeordneter und untergeordneter Zone in der Vertrauenskette. Beide sind für eine vollständige DNSSEC-Validierung erforderlich.
Meine Domain hat DNSKEY, aber keine DS-Einträge - funktioniert DNSSEC?
Nein. Wenn DNSKEY-Einträge veröffentlicht sind, aber keine DS-Einträge beim Registrar registriert sind, ist die DNSSEC-Vertrauenskette unterbrochen. Validierende Resolver behandeln Ihre Domain als unsicher (nicht gefälscht, aber unvalidiert). Um DNSSEC abzuschliessen: (1) Generieren Sie DNSKEY-Einträge bei Ihrem autoritativen DNS-Anbieter, (2) erhalten Sie den DS-Eintrag-Hash, (3) reichen Sie den DS-Eintrag bei Ihrem Domain-Registrar über sein Kontrollpanel ein. Ohne den DS-Eintrag in der übergeordneten Zone ist DNSSEC faktisch nicht aktiviert.
Welchen DNSSEC-Algorithmus sollte ich verwenden?
Empfohlene Algorithmen: Ed25519 (Algorithmus 15) - am schnellsten, kleinste Schlüssel, modernster; ECDSA P-256/SHA-256 (Algorithmus 13) - weit verbreitet, gute Sicherheit; RSA/SHA-256 (Algorithmus 8) - weit kompatibel, aber größere Schlüssel. Vermeiden Sie RSA/MD5 (1), RSA/SHA-1 (5) und DSA-Algorithmen (3, 6, 7) - diese sind veraltet oder kryptografisch schwach. Ed25519 ist die beste Wahl für neue Deployments.