Übersicht zu DNS-Sicherheitserweiterungen (DNSSEC)
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
DNS-Sicherheitserweiterungen (Domain Name System Security Extensions, DNSSEC) ist ein Feature des Domain Name System (DNS), mit dem Antworten auf Domainnamenabfragen authentifiziert werden können.
DNSSEC bietet keinen Datenschutz für diese Suchvorgänge, verhindert jedoch, dass Angreifer die Antworten auf DNS-Anfragen verfälschen oder manipulieren.
Damit DNSSEC Domains vor Spoofing- und Cache-Poisoning-Angriffen schützen kann, sind in den folgenden Bereichen Aktivierungen und Konfigurationen erforderlich:
Die DNS-Zone. Wenn Sie DNSSEC für eine Zone aktivieren, verwaltet Cloud DNS automatisch das Erstellen und Drehen von DNSSEC-Schlüsseln (DNSKEY-Einträgen) und das Signieren von Zonendaten mit digitalen Signaturdatensätzen von Ressourceneinträgen (RRSIG).
Die Top-Level-Domain-Registry (TLD) (für example.com wäre dies .com). In Ihrer TLD-Registry muss ein DS-Eintrag vorhanden sein, mit dem ein DNSKEY-Eintrag in Ihrer Zone authentifiziert wird. Dazu müssen Sie bei Ihrem Domain-Registrator DNSSEC aktivieren.
Der DNS-Resolver. Damit vollständiger DNSSEC-Schutz besteht, müssen Sie einen DNS-Resolver verwenden, der Signaturen für DNSSEC-signierte Domains validiert. Sie können die Validierung für einzelne Systeme oder Ihre lokalen Caching-Resolver aktivieren, wenn Sie die DNS-Dienste Ihres Netzwerks verwalten.
Weitere Informationen zur DNSSEC-Validierung finden Sie in den folgenden Ressourcen:
Außerdem können Sie Systeme so konfigurieren, dass öffentliche Resolver verwendet werden, die DNSSEC validieren, insbesondere Google Public DNS und Verisign Public DNS.
Mit dem Vorgang unter Punkt 2 werden die Domainnamen eingeschränkt, mit denen DNSSEC funktioniert.
Sowohl Registrator als auch Registry müssen DNSSEC für die von Ihnen verwendete TLD unterstützen. Wenn Sie über Ihren Domain-Registrator keinen DS-Eintrag hinzufügen können, um DNSSEC zu aktivieren, hat die Aktivierung von DNSSEC in Cloud DNS keine Auswirkungen.
Lesen Sie sich vor dem Aktivieren von DNSSEC die folgenden Ressourcen durch:
Die DNSSEC-Dokumentation für Ihren Domain-Registrator und Ihre TLD-Registry
Die ICANN-Liste zur DNSSEC-Unterstützung von Domain-Registratoren, um zu prüfen, ob Ihre Domain von DNSSEC unterstützt wird
Wenn die TLD-Registry DNSSEC unterstützt, Ihr Registrator sie jedoch nicht bzw. nicht für diese TLD unterstützt, können Sie Ihre Domains eventuell zu einem anderen Registrator übertragen, der entsprechende Unterstützung bietet. Nachdem Sie diesen Vorgang abgeschlossen haben, können Sie DNSSEC für die Domain aktivieren.
Verwaltungsvorgänge
Eine Schritt-für-Schritt-Anleitung zum Verwalten von DNSSEC finden Sie in den folgenden Ressourcen:
Weitere Informationen zu Datensatztypen und anderen Eintragstypen finden Sie in den folgenden Ressourcen:
Informationen darüber, welche öffentlichen Zertifizierungsstellen (Certification Authority Authorization, CAA) TLS- oder andere Zertifikate für Ihre Domain erzeugen können, finden Sie unter CAA-Einträge.
Informationen zum Aktivieren der opportunistischen Verschlüsselung über IPsec-Tunnel finden Sie unter IPSECKEY-Einträge.
DNS-Eintragstypen mit DNSSEC-gesicherten Zonen
Weitere Informationen zu DNS-Eintragstypen und anderen Eintragstypen finden Sie in der folgenden Ressource:
Informationen zum Aktivieren von SSH-Clientanwendungen zur Validierung von SSH-Servern finden Sie unter SSHFP-Einträge.
Migration oder Übertragung von DNSSEC-fähigen Zonen
Cloud DNS unterstützt die Migration von DNSSEC-aktivierten Zonen, für die DNSSEC bei der Domainregistrierung aktiviert wurde, ohne die Vertrauenskette zu brechen. Sie können Zonen zu oder von anderen DNS-Betreibern migrieren, die die Migration ebenfalls unterstützen.
Wenn Ihre vorhandene Domain von Ihrem Registrar gehostet wird, empfehlen wir Ihnen, die Nameserver zu Cloud DNS zu migrieren, bevor Sie sie zu einem anderen Registrar übertragen.
Nächste Schritte
Informationen zum Ansehen von DNSSEC-Schlüsseldatensätzen finden Sie unter DNSSEC-Schlüssel aufrufen.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-11 (UTC)."],[[["\u003cp\u003eDNSSEC authenticates domain name lookup responses, preventing attackers from manipulating or poisoning them, but it does not offer privacy for these lookups.\u003c/p\u003e\n"],["\u003cp\u003eTo fully protect domains with DNSSEC, it must be enabled in the DNS zone, the top-level domain (TLD) registry, and the DNS resolver.\u003c/p\u003e\n"],["\u003cp\u003eDNSSEC's functionality is contingent on both the domain registrar and the registry supporting the TLD, otherwise enabling DNSSEC in Cloud DNS will have no effect.\u003c/p\u003e\n"],["\u003cp\u003eCloud DNS supports the migration of DNSSEC-enabled zones to and from other DNS operators without disrupting the chain of trust.\u003c/p\u003e\n"],["\u003cp\u003eBefore enabling DNSSEC, verify that your domain registrar and TLD registry both support DNSSEC and check for registrar-specific instructions.\u003c/p\u003e\n"]]],[],null,["# DNS Security Extensions (DNSSEC) overview\n\nThe Domain Name System Security Extensions (DNSSEC) is a feature of the Domain\nName System (DNS) that authenticates responses to domain name lookups.\nIt does *not* provide privacy protections for those lookups,\nbut prevents attackers from manipulating or poisoning the responses to DNS\nrequests.\n\nTo protect domains from spoofing and poisoning attacks, enable and configure\nDNSSEC in the following places:\n\n1. The DNS zone. If you [enable DNSSEC](/dns/docs/dnssec-config#enabling) for\n a zone, Cloud DNS automatically manages the creation and rotation of\n DNSSEC keys (DNSKEY records) and the signing of zone data with resource\n record digital signature (RRSIG) records.\n\n2. The top-level domain (TLD) registry (for `example.com`, this would be `.com`).\n In your TLD registry, you must have a DS record that authenticates a DNSKEY\n record in your zone. Do this by [activating DNSSEC](/dns/docs/registrars#add-ds)\n at your domain registrar.\n\n3. The DNS resolver. For full DNSSEC protection, you must use a DNS resolver\n that *validates* signatures for DNSSEC-signed domains. You can enable\n validation for individual systems or your local caching resolvers if you\n administer your network's DNS services.\n\n For more information about DNSSEC validation, see the following resources:\n - [Do you have DNSSEC validation enabled?](https://blog.apnic.net/2017/05/11/dnssec-validation-enabled/)\n - [Deploying DNSSEC with BIND and Ubuntu Server\n (Part 1)](https://blog.apnic.net/2019/05/23/how-to-deploying-dnssec-with-bind-and-ubuntu-server/)\n - [DNSSEC Guide: Chapter 3. Validation](https://dnsinstitute.com/documentation/dnssec-guide/ch03s03.html)\n - [DNSSEC](https://wiki.debian.org/DNSSEC)\n\n You can also configure systems to use public resolvers that validate DNSSEC,\n notably [Google Public DNS](https://developers.google.com/speed/public-dns/docs/using)\n and [Verisign Public DNS](https://www.verisign.com/security-services/public-dns/index.xhtml).\n\nThe second point limits the domain names where DNSSEC can work.\nBoth the [registrar and registry](https://support.google.com/domains/answer/3251189)\nmust support DNSSEC for the TLD that you are using. If you cannot add a DS\nrecord through your domain registrar to activate DNSSEC,\nenabling DNSSEC in Cloud DNS has no effect.\n\nBefore enabling DNSSEC, check the following resources:\n\n- The DNSSEC documentation for both your domain registrar and TLD registry\n- The [Google Cloud community tutorial's](/community/tutorials/dnssec-cloud-dns-domains#domain_registrar-specific_instructions) domain registrar-specific instructions\n- The [ICANN list](https://www.icann.org/search/#!/?searchText=domain%20registrar%20DNSSEC%20support) of domain registrar DNSSEC support to confirm DNSSEC support for your domain.\n\nIf the TLD registry supports DNSSEC, but your registrar does not\n(or does not support it for that TLD), you might be able to transfer\nyour domains to a different registrar that does. After you have completed that\nprocess, you can activate DNSSEC for the domain.\n\nManagement operations\n---------------------\n\nFor step-by-step instructions for managing DNSSEC, see the following resources:\n\n- To change the DNSSEC state of the zone from `Transfer` to `On`, see\n [Leaving DNSSEC transfer state](/dns/docs/dnssec-config#leaving-transfer).\n\n- To enable DNSSEC for delegated subdomains, see\n [Delegating DNSSEC-signed subdomains](/dns/docs/dnssec-advanced#subdelegation).\n\nRecord set types enhanced by DNSSEC\n-----------------------------------\n\nFor more information about record set types and other record types, see the\nfollowing resources:\n\n- To control which public certificate authorities (CAs) can generate TLS or\n other certificates for your domain, see\n [CAA records](/dns/docs/dnssec-advanced#caa).\n\n- To enable opportunistic encryption through IPsec tunnels, see\n [IPSECKEY records](/dns/docs/dnssec-advanced#ipseckey).\n\nDNS record types with DNSSEC-secured zones\n------------------------------------------\n\nFor more information about DNS record types and other record types, see the\nfollowing resource:\n\n- To enable SSH client applications to validate SSH servers, see [SSHFP records](/dns/docs/dnssec-advanced#sshfp).\n\nMigration or transfer of DNSSEC-enabled zones\n---------------------------------------------\n\nCloud DNS supports migrating DNSSEC-enabled zones where DNSSEC has been\nactivated at the domain registry without breaking the chain of trust. You can\nmigrate zones to or from other DNS operators that also support migration.\n\n- To migrate a DNSSEC-signed zone to Cloud DNS, see\n [Migrate DNSSEC-signed zones to Cloud DNS](/dns/docs/dnssec-migrate#migrating-to).\n\n- To migrate a DNSSEC-signed zone to another DNS operator, see\n [Migrate DNSSEC-signed zones from Cloud DNS](/dns/docs/dnssec-migrate#migrating-from).\n\nIf your existing domain is hosted by your registrar, we recommend migrating the\nname servers to Cloud DNS before transferring to another registrar.\n\nWhat's next\n-----------\n\n- To view DNSSEC key records, see [View DNSSEC keys](/dns/docs/dnskeys).\n- To work with managed zones, see [Create, modify, and delete zones](/dns/docs/zones).\n- To find solutions for common issues that you might encounter when using Cloud DNS, see [Troubleshooting](/dns/docs/troubleshooting).\n- To get an overview of Cloud DNS, see [Cloud DNS overview](/dns/docs/overview)."]]
