So aktivieren Sie DNSSEC in cPanel und Ihrem Domain-Registrar

Diese Anleitung unten zeigt Ihnen, wie Sie DNSSEC in cPanel und bei Ihrem Domain-Registrar aktivieren, um Man-in-the-Middle-Angriffe, Cache-Poison-Angriffe und andere Arten von DNS-Fälschungen zu vermeiden.

Angesichts dessen, wie das Internet gegenwärtig jeden Aspekt unseres Lebens bestimmt, vergisst man oft leicht, dass das Domain Name System (DNS), das seinen zentralen Kern bildet, wird durch Kanäle und Bänder zusammengehalten.

Als DNS in den 1980er Jahren entworfen wurde, war das Internet viel kleiner und Sicherheit war nie eine Überlegung, da die Mitglieder des Netzwerks einander vertrauten.

Die Welt hat sich verändert.

Die Fortschritte in der Technologie haben es dem Internet ermöglicht, Teil unseres täglichen Lebens zu werden.

Dies hat Möglichkeiten für DNS-Exploits geschaffen, darunter DNS-Spoofing/Cache-Poisoning, DNS-Tunneling, DNS-Hijacking, NXDOMAIN-Angriffe, Angriffe auf Phantomdomänen, Botnet-basierte CPE-Angriffe und andere.

Stellen Sie sich eine Situation vor, in der ein rekursiver Resolver eine Anfrage an einen autoritativen Nameserver sendet.

So wie es jetzt ist, hat der Resolver keine Möglichkeit, die Authentizität der Antwort zu überprüfen.

Es kann nur überprüfen, ob die Antwort anscheinend von derselben IP-Adresse stammt, an die der Resolver die ursprüngliche Anfrage gesendet hat, aber eine gefälschte Antwort auf eine seiner Anfragen nicht leicht erkennen kann, falls eine vorhanden ist.

Ein Angreifer kann sich leicht als autoritativer Server ausgeben, die DNS-Suche kapern, um einen Benutzer auf eine betrügerische Website zu schicken, die Malware verbreitet, oder persönliche Informationen sammeln, ohne dass der Benutzer es merkt.

Die Ingenieure der Internet Engineering Task Force (IETF) (die Organisation, die für die DNS-Protokollstandards verantwortlich ist ) wussten von dieser Schwachstelle und haben nach einer Lösung gesucht.

Diese Bemühungen führten zu dem, was wir heute als DNSSEC-Sicherheitserweiterungen (DNSSEC ).

DNSSEC (abwärtskompatibel) ist eine Reihe von Erweiterungen, die dem DNS-Protokoll zusätzliche Sicherheit verleihen, indem sie eine hierarchische Richtlinie für digitale Signaturen über alle DNS-Ebenen hinweg implementieren.

Zu seinen Kernfunktionen gehört es, als wirksamer Schutz vor DNS-Spoofing-Angriffen zu dienen … bei richtiger Implementierung.

Die Datenursprungsauthentifizierung der DNS-Anforderungsvalidierung ermöglicht es einem Resolver, kryptografisch zu verifizieren, dass die empfangenen Daten tatsächlich aus der Zone stammen, von der er glaubt, dass die Daten stammen.

Und durch den Schutz der Datenintegrität weiß der Resolver, dass die Daten während der Übertragung nicht geändert wurden, seit sie ursprünglich vom Zonenbesitzer mit dem privaten Schlüssel der Zone signiert wurden.

In Übereinstimmung mit unserem Versprechen, dass unsere Kunden immer Zugang zu den besten und neuesten Funktionen erhalten, die cPanel bietet , freuen wir uns, Ihnen mitteilen zu können, dass Sie jetzt DNSSEC für Ihre Domain auf allen unseren cPanel-Produktionsservern aktivieren können.

Eine ausführliche Anleitung dazu haben wir unter https://dashboard.webhostingmagic.com/knowledgebase/23/DNSSEC

erstellt

Wenn Sie es aktivieren, fügt DNSSEC Ihrem DNS eine Authentifizierungsebene hinzu, wodurch Sie all die oben erwähnten Probleme vermeiden können.

Im Moment ist DNSSEC nicht automatisch.

Nachdem Sie den Schlüssel in cPanel erstellt haben, muss er von Ihnen, dem Eigentümer des Domainnamens, auf den autoritativen Servern Ihrer Zone ausdrücklich aktiviert werden.

Der Prozess unterscheidet sich von jedem Registrar, aber genauso wie Sie andere Änderungen an einer Zone vornehmen können (z. B. die autoritativen Nameserver einer Zone ), können Sie auch das öffentliche Schlüsselmaterial der Zone aktualisieren, um die Implementierung von DNSSEC abzuschließen.

Auf dieser Seite haben wir einige der gängigsten Domain-Registrare aufgelistet, die einige unserer Kunden verwendet haben, die ihr DNS außerhalb unserer Systeme hosten.

Wenn Ihre Domain nicht aufgeführt ist, wenden Sie sich bitte an das Support-Team Ihres Domain-Registrars.

GROSSE WARNUNG:IGNIEREN SIE DIESE WARNUNG NICHT

Die erste Frage, die Sie sich wirklich stellen müssen, lautet:Soll ich DNSSEC aktivieren ?

Der Grund, warum Sie diese Frage beantworten müssen, ist, dass die Aktivierung von DNSSEC die Art und Weise, wie Sie Ihre Domain und DNS-Einträge verknüpfen oder verwalten, grundlegend verändert.

Wenn Sie beispielsweise DNSSEC für Ihre Domain aktiviert haben, können Sie Ihre Nameserver nicht einfach so ändern.

Bevor Sie Nameserver ändern, müssen Sie DNSSEC deaktivieren und mindestens 72 Stunden warten, bevor Sie solche Änderungen vornehmen.

Andernfalls kann Ihre Domain nicht aufgelöst werden.

Ein weiteres Beispiel ist, wenn Sie einen Domainnamen zu einem anderen Registrar oder Webhosting-Dienstleister übertragen müssen.

Sie müssen zuerst die Einträge des Domänenservers (DS) entfernen und warten, bis die Änderungen wirksam werden, bevor Sie die Übertragung initialisieren.

Wenn Sie die alten DS-Einträge nicht aus dem Registrar entfernen, können die Domänen aufgrund ungültiger DNSSEC-Antworten Probleme mit der DNS-Auflösung verursachen.

Nun, das ist aus dem Weg, unten sind Links, die Sie möglicherweise benötigen, um die DNSSEC-Aktivierung bei Ihrem Domain-Registrar abzuschließen.

Registrar	Anleitung
123 Reg	Wenden Sie sich an den Kundensupport Ihres Registrars und geben Sie die DS-Eintragsdaten an, die Sie beim Webhosting Magic cPanel generiert haben.
DNSimple	Verwenden von Webhosting Magic cPanel DNSSEC mit DNSimple
domaindiscount24	DNSSEC
Dotster	Wenden Sie sich an den Kundensupport Ihres Registrars und geben Sie die DS-Eintragsdaten an, die Sie beim Webhosting Magic cPanel generiert haben.
DreamHost	DNSSEC-Übersicht Verwenden Sie in DreamHost 2 als Digest-Typ anstelle von SHA256 .
dynadot	Wie richte ich DNSSEC ein?
Enom	Zum Zeitpunkt der Erstellung dieses Artikels unterstützen die Standard-Nameserver von Enon nicht die Erstellung der entsprechenden Ressourceneinträge, um eine ordnungsgemäße DNSSEC-Kette zu erstellen. Weitere Informationen finden Sie unter Hinzufügen eines DNSSEC zu einem Domainnamen
gandi	DNSSEC Stellen Sie in Gandi sicher, dass Sie Algorithmus 13 für das Dropdown-Menü Algorithmus auswählen.
GoDaddy	Führen Sie die folgenden Schritte aus, um einen DS-Eintrag mit GoDaddy zu konfigurieren: Klicken Sie auf Verwalten. Wählen Sie in der oberen rechten Ecke der Benutzeroberfläche die Listenansicht aus. Wählen Sie die Domain aus, für die ein DS-Eintrag erstellt werden soll. Klicken Sie im Abschnitt "DS-Einträge" der Benutzeroberfläche "Einstellungen" auf "Verwalten". Klicken Sie auf DS-Eintrag hinzufügen. Geben Sie die Informationen des DNSSEC-Schlüssels in die Textfelder ein und klicken Sie auf Weiter. Das System validiert die von Ihnen hinzugefügten DS-Eintragsinformationen. Klicken Sie auf "Weiter" und dann auf "OK". Fügen Sie einen DS-Eintrag hinzu
Godzone	Wenden Sie sich an den Kundensupport Ihres Registrars und geben Sie die DS-Eintragsdaten an, die Sie beim Webhosting Magic cPanel generiert haben. Im Godzone-Web-Steuerungsfeld können Sie möglicherweise einen DS-Eintrag unter den Domains hinzufügen Registerkarte.
Google-Domains	Wenn Sie Nameserver von Google Domains verwenden, können Sie DNSSEC mit einem Klick aktivieren. Befolgen Sie diese Anweisungen: Melden Sie sich bei Google Domains an. Wählen Sie den Namen Ihrer Domain aus. Menü öffnen Klicken Sie auf DNS . Scrollen Sie zu "DNSSEC". Klicken Sie auf DNSSEC aktivieren oder DNSSEC deaktivieren um die Domain-Einstellung zu ändern. Wenn Sie DNSSEC aktivieren, dauert es ungefähr 2 Stunden, bis DNSSEC vollständig aktiviert ist. Wenn Sie es deaktivieren, dauert es bis zu zwei Tage, bis es deaktiviert wird. Wenn Sie benutzerdefinierte Nameserver haben, benötigen Sie möglicherweise einen DNS-Drittanbieter, um DNSSEC für Ihre Domäne zu konfigurieren. Außerdem müssen Sie DNSSEC auf Google Domains aktivieren. Befolgen Sie die nachstehenden Anweisungen: Identifizieren Sie einen oder mehrere DNSKEY-Einträge, die Sie in Webhosting Magic cPanel für Ihre Domain erstellt haben. Erhalten Sie die folgenden Werte: Schlüssel-Tag: Numerischer Wert, der auf einen bestehenden DNSKEY-Eintrag verweist. Algorithmus: Verschlüsselungsalgorithmus, der den Sicherheitsschlüssel im DNSKEY-Eintrag erstellt hat. Normalerweise gepaart mit einer Hash-Funktion, wie bei RSA/SHA1. Digest-Typ: Algorithmus, der zum Erstellen des Digest des DNSKEY-Eintrags verwendet wird. Wird auch als „Digest-Algorithmus“, „Digest-Hash“ oder „Digest-Hash-Funktion“ bezeichnet. Zusammenfassung: Hash-Wert des DNSKEY-Eintrags, der ihn eindeutig identifiziert, ohne den Wert des Schlüssels offenzulegen. Je nach Digest-Typ beträgt die Länge: SHA1 – 40 Hexadezimalziffern SHA256 – 64 Hexadezimalziffern SHA384 – 96 Hexadezimalziffern Erstellen Sie für jeden DNSKEY-Eintrag mindestens einen DS-Ressourceneintrag (Delegation of Signing). Folge diesen Schritten: Melden Sie sich bei Google Domains an. Wählen Sie den Namen Ihrer Domain aus. Menü öffnen. Klicken Sie auf DNS . Scrollen Sie zu „DNSSEC“. Erstellen Sie einen Eintrag mit den Werten aus den vorherigen Schritten. Google Cloud-DNS und DNSSEC Wenn DNSSEC während der Erstellung der DNS-Zone aktiviert wurde, wählen Sie DNSSEC auf Ein und klicken Sie auf Speichern. Google Cloud DNS erstellt DNSSEC-Einträge für öffentliche Schlüssel (DNSKEY), Signaturen (RRSIG) und Nichtexistenz (NSEC oder NSEC3 und NSEC3PARAM), um die Inhalte Ihrer Zone zu authentifizieren und automatisch zu verwalten. Sobald diese Aktion durchgeführt wurde, ist es an der Zeit, sich mit dem Registrar-Teil zu befassen. Klicken Sie auf den Zonennamen und dann oben rechts auf Registrar Setup, um die DNSSEC-Ressourceneinträge anzuzeigen, die in Ihrer Domain aktualisiert werden müssen. Sie erhalten diese Werte, die Sie benötigen, um den Domainnamen bei Ihrem Registrar zu sichern. Schlüssel-Tag:Numerischer Wert, der sich auf einen vorhandenen DNSKEY-Eintrag bezieht, oder ganzzahliger Wert, der den DNSSEC-Eintrag der Domain identifiziert. Algorithmus:Verschlüsselungsalgorithmus, der den Sicherheitsschlüssel im DNSKEY-Eintrag erstellt hat. Digest-Typ:Algorithmus, der verwendet wird, um den Digest des DNSKEY-Eintrags zu erstellen. Digest:Hash-Wert des DNSKEY-Eintrags, der ihn eindeutig identifiziert, ohne den Wert des Schlüssels preiszugeben.
schweben	DNSSEC verstehen und verwalten
internet.bs	Wenden Sie sich an den Kundensupport Ihres Registrars und geben Sie die DS-Eintragsdaten an, die Sie beim Webhosting Magic cPanel generiert haben. Möglicherweise können Sie einen DS-Eintrag hinzufügen: Meine Domains> DNS-Liste aktualisieren> DNSSEC verwalten> DNSSEC aktivieren
Joker.com	DNSSEC-Unterstützung Verwenden Sie in Joker.com 2 als Digest-Typ anstelle von SHA256 .
MarkMonitor	MarkMonitor unterstützt den Verifizierungsalgorithmus 13 und implementiert automatisch das Extensive Provisioning Protocol (EPP), um DS-Einträge für die folgenden TLDs an die Registrierungsstelle zu übergeben: .com, .biz, .net, .org, .us, .eu, .fr, .de, .co, .lu, .ch, .be, .li, .co.uk, .wf, .tf, .pm, .yt, .se, .af, .cx, .gs, .hn, .ki, .nf, .sb, .tl, .re Um einen DS-Eintrag hinzuzufügen, geben Sie die DS-Daten in die DNSSEC-Details ein Panel des MarkMonitor-Verwaltungsportals.
Spitzname	Wenden Sie sich an den Kundensupport Ihres Registrars und geben Sie die DS-Eintragsdaten an, die Sie beim Webhosting Magic cPanel generiert haben. Möglicherweise können Sie einen DS-Eintrag hinzufügen: Meine Domains>Erweiterte Einstellungen> DNSSEC> DSData
name.com	Verwaltung von DNSSEC
Namebillig	Um einen DS-Eintrag mit NameCheap zu konfigurieren, führen Sie die folgenden Schritte aus: Klicken Sie im linken Menü auf Domänenliste. Wählen Sie die Domain aus, für die Sie einen DS-Eintrag konfigurieren möchten, und klicken Sie auf Verwalten. Klicken Sie auf Erweitertes DNS. Stellen Sie den DNSSEC-Schalter auf ein. Das DS-Aufzeichnungsmenü wird angezeigt. Klicken Sie auf NEUE DS HINZUFÜGEN. Geben Sie die Informationen des DNSSEC-Schlüssels in die Textfelder ein. Klicken Sie auf ALLE ÄNDERUNGEN SPEICHERN. Verwalten von DNSSEC für Domains, die auf benutzerdefiniertes DNS verweisen
OpenSRS	Um einen DS-Eintrag mit OpenSRS zu konfigurieren, führen Sie die folgenden Schritte aus: Klicken Sie auf Domänen. Suchen Sie die Domain, für die Sie einen DS-Eintrag konfigurieren möchten, und klicken Sie auf den Namen der Domain. Scrollen Sie nach unten zum Abschnitt DNSSEC und klicken Sie auf Bearbeiten. Das DS-Aufzeichnungsmenü wird angezeigt. Geben Sie die Informationen des DNSSEC-Schlüssels in die Textfelder ein. Klicken Sie auf Speichern.
NameISP	Wie aktiviere ich DNSSEC für meine Domain? Das Aktivieren von DNSSEC in nameISP erfordert nicht, dass Sie die DS-Eintragsdaten aus Ihrem Webhosting-Magic-cPanel-Konto kopieren und einfügen.
Namesilo	DS-Einträge (DNSSEC)
OVH	OVH unterstützt DNSSEC mit Algorithmus 13 über seine API. Siehe Dokumentation. OVH unterstützt auch das Hinzufügen des DS-Eintrags über seinen DNS-Manager.
Public Domain Registry	Wenden Sie sich an den Kundensupport Ihres Registrars und geben Sie die DS-Eintragsdaten an, die Sie beim Webhosting Magic cPanel generiert haben. Dieser Registrar hat möglicherweise begrenzte TLDs. Siehe Hinzufügen von Delegation Signer (DS) Records.
register.com	Wenden Sie sich an den Kundensupport Ihres Registrars und geben Sie die DS-Eintragsdaten an, die Sie mit Webhosting Magic cPanel generiert haben.
registro.br	DNS- und DNSSEC-Tutorials (auf Portugiesisch)
Tsohost	Wenden Sie sich an den Kundensupport Ihres Registrars und geben Sie die DS-Eintragsdaten an, die Sie mit Webhosting Magic cPanel generiert haben.

Wenn DNSSEC erfolgreich auf Ihre Domain angewendet wurde, können Sie dies bestätigen, indem Sie die WHOIS-Informationen für Ihre Domain überprüfen.

Bei Domains mit DNSSEC wird „signedDelegation“ im DNSSEC-Feld angezeigt.

Sie können auch ein Online-Tool wie http://dnsviz.net/ oder https://dnssec-analyzer.verisignlabs.com/ verwenden, um Ihre DNSSEC zu validieren.

So aktivieren Sie DNSSEC in cPanel und Ihrem Domain-Registrar

Google Cloud-DNS und DNSSEC