DNSSEC, DANE & CAA über Cloudflare DNS
Cloudflare DNS DEEP DIVE: DNSSEC mit 1-Click-Aktivierung (Algorithmus 13 ECDSAP256SHA256, Cloudflare-preferred — Original-Zitat aus developers.cloudflare.com/dns/dnssec). DANE TLSA und CAA über DNS-Editor, Workers + DNS-Proxy-Konflikte mit DANE, NS-Pattern für Stack-Detection. Cloudflare ist DNS-Hoster, NICHT Mail-Hoster.
Cloudflare DNS — DNSSEC, DANE und CAA im Detail
Cloudflare DNS ist einer der am weitesten verbreiteten DNS-Hosting-Dienste weltweit — kostenlos für unbegrenzte Domains, mit globaler Anycast-Performance und 1-Click-DNSSEC. Direktzitat aus der offiziellen Cloudflare-Dokumentation (developers.cloudflare.com/dns/dnssec, Abruf 2026-05-16): „Algorithm 13 - Cloudflare's preferred cipher choice“. Cloudflare nutzt also ECDSAP256SHA256 (Algorithmus 13) als Standard-Algorithmus — die modernste empfohlene Konfiguration nach RFC 8624 § 3.1: „ECDSAP256SHA256 is the RECOMMENDED DNSKEY algorithm for use by new DNSSEC deployments.“
Wichtige Klarstellung — Cloudflare DNS ist DNS-Hoster, NICHT Mail-Hoster: Cloudflare betreibt keinen klassischen SMTP-Mailserver. Der MX-Record zeigt entweder auf einen externen Mailserver (Microsoft 365, Google Workspace, Postfix/Mailcow auf eigenem Server, Proton Mail) oder auf Cloudflare Email Routing (Forward-Service mit Hostnamen route1-3.mx.cloudflare.net). DNSSEC, TLSA-Records und CAA werden über die Cloudflare-DNS-Console konfiguriert — die TLSA-Records gelten dann für den jeweils dahinter liegenden Mailserver.
Hardening-Pfad: Cloudflare DNS ist DNS-Hoster — SPF/DKIM/DMARC werden je nach Mail-Backend konfiguriert. Bedrohungs-Cluster: Ein DNSSEC-gehärteter MX-Record über Cloudflare DNS schließt DNS-Hijacking-Spoofing und SubdoMailing besonders effizient, da Cloudflare global hochverfügbar ist und DNS-Updates innerhalb von Sekunden propagieren.
DNSSEC im Cloudflare Dashboard aktivieren (1-Click)
Im Cloudflare Dashboard unter DNS → Settings → DNSSEC die Funktion aktivieren. Cloudflare signiert die Zone mit Algorithmus 13 (ECDSAP256SHA256) und zeigt im Dialog die DS-Record-Werte für die Registrar-Eintragung.
; Cloudflare DNSSEC DS-Record (Beispielausgabe nach Dashboard-Aktivierung)
;
; Algorithmus: 13 (ECDSAP256SHA256) — Cloudflare-preferred cipher choice
; Digest Type: 2 (SHA-256)
; Key Tag: 2371 (Beispielwert)
; Digest: ABC123DEF456789... (DS-Hash)
;
; Direktzitat aus developers.cloudflare.com/dns/dnssec:
; "Algorithm 13 - Cloudflare's preferred cipher choice"
;
; Beim Registrar eintragen:
example.com. IN DS 2371 13 2 ABC123DEF456789...Cloudflare verwaltet KSK und ZSK automatisch — die genauen Rotations-Intervalle sind in der öffentlichen Cloudflare-Doku (Abruf 2026-05-16) nicht detailliert dokumentiert. ZSK-Rotation erfolgt typisch häufiger und transparent für Cloudflare-DNS-Nutzer; KSK-Rotation seltener und mit DS-Record-Update beim Registrar verbunden. Bei Cloudflare-Registrierten Domains erfolgt der DS-Update automatisch — bei externen Registraren ist eine Sichtprüfung pro Quartal empfehlenswert.
Cloudflare bietet einen dokumentierten REST-Endpunkt für den DNSSEC-Status pro Zone: GET /zones/{zone_id}/dnssec — laut Cloudflare-API-Doku „Details about DNSSEC status and configuration“ (Abruf 2026-05-18, developers.cloudflare.com/api/operations/dnssec-dnssec-details). Die Antwort enthält den vollständigen DS-Record im Feld "ds" als bereits formatiertes Zone-File-Statement, z.B. "example.com. 3600 IN DS 16953 13 2 48E9...". Dieser Endpunkt ist read-only — zur Aktivierung/Deaktivierung von DNSSEC oder zur Anpassung von dnssec_presigned bzw. dnssec_multi_signer sind andere Endpunkte vorgesehen. IaC-Pattern für Terraform-Setups: Den DS-Record aus der API auslesen und in einer Pipeline an den externen Registrar (DENIC-Agent / GoDaddy-API) propagieren — bei Cloudflare-Registrar entfällt das, weil Cloudflare die DS-Übertragung intern abwickelt. Algorithmus-13-Konvergenz: Sowohl Cloudflare („Algorithm 13 - Cloudflare's preferred cipher choice“) als auch Microsoft Azure DNS („Zones are DNSSEC signed using Elliptic Curve Digital Signature Algorithm (ECDSAP256SHA256)“) sowie Netcup setzen einheitlich auf Algorithmus 13 — Migration zwischen diesen drei Providern ist Algorithmen-kompatibel und benötigt nur DS-Record-Re-Eintragung beim Registrar.
DS-Record beim Registrar hinterlegen
Cloudflare zeigt nach DNSSEC-Aktivierung den DS-Record an. Bei Cloudflare-Registrar (für unterstützte TLDs wie .com/.net/.org und ausgewählte ccTLDs) oder bei .ch/.cz-TLDs erfolgt die DS-Synchronisation laut Cloudflare-Doku automatisch. Bei externem Registrar (united-domains, DENIC-Agent für .de, GoDaddy, Namecheap, OVH) ein manueller Kopier-Schritt.
Cloudflare-Doku enthält eine umfangreiche Liste mit Registrar-spezifischen Schritten (GoDaddy, Namecheap, OVH, etc.) — siehe developers.cloudflare.com/dns/dnssec. Bei DENIC-Agenten für .de erfolgt der DS-Record-Eintrag im Registrar-Panel; Cloudflare unterstützt für .de-Domains die manuelle Übertragung.
TLSA + CAA-Records über Cloudflare DNS anlegen
Cloudflare DNS unterstützt TLSA-Records (für DANE) und CAA-Records (für Zertifikatskontrolle). Beide werden im DNS-Editor angelegt (Record-Type-Dropdown → TLSA bzw. CAA). Wichtig: Cloudflare proxiert SMTP nicht — der A/AAAA-Record für den MX-Hostnamen muss auf „DNS only“ (graue Wolke) stehen.
; TLSA-Record für eigenen Mailserver (DANE)
_25._tcp.mail.example.com. IN TLSA 3 1 1 53eede6fbcd34c0eba3...
; CAA-Records (Cloudflare DNS-Editor → Record Type: CAA)
example.com. IN CAA 0 issue "letsencrypt.org"
example.com. IN CAA 0 issue "pki.goog" ; optional für Google-Services
example.com. IN CAA 0 issuewild ";"
example.com. IN CAA 0 iodef "mailto:security@example.com"
; Subdomain-spezifisch
mta-sts.example.com. IN CAA 0 issue "letsencrypt.org"Cloudflare Email Routing nutzt route1-3.mx.cloudflare.net als MX-Hostnamen. Für TLSA-Records an diesen Hostnamen ist Cloudflare zuständig (provider-side) — wir können den TLSA-Status per dig TLSA _25._tcp.route1.mx.cloudflare.net selbst prüfen, aber nicht setzen. Wenn Sie eigenes DANE für eingehenden Mail-Traffic wollen, betreiben Sie einen externen Mailserver (Postfix/Mailcow) statt Email Routing.
DNSSEC + DANE + CAA verifizieren
Nach Aktivierung prüfen Sie die DNSSEC-Kette per dig, das DS-Record beim Registrar mit korrektem Algorithmus 13, TLSA + CAA-Records und die NS-Pattern (Cloudflare weist zwei NS aus dem Cloudflare-Anycast-Pool zufällig zu).
# DNSSEC bei Cloudflare prüfen
dig +dnssec MX example.com | grep -E "RRSIG|ad;"
# DS-Record beim Registrar
dig DS example.com @1.1.1.1 +short
# Erwartet: 2371 13 2 ABC123...
# ^^^^ ^^ ^
# Tag Alg Digest-Type
# Algorithmus muss 13 (ECDSAP256SHA256) sein.
# TLSA + CAA
dig TLSA _25._tcp.mail.example.com +short
dig CAA example.com +short
# Cloudflare-NS verifizieren
dig NS example.com +short
# Erwartet: zwei *.ns.cloudflare.com (zufällig zugewiesen)
# Komplette Chain
delv @1.1.1.1 example.com A
# Erwartet: "fully validated"
Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser erkennt Cloudflare-DNS-Hosting automatisch (NS-Pattern *.ns.cloudflare.com), unterscheidet Email Routing von externem Mailserver, validiert die DNSSEC-Kette mit ECDSAP256SHA256-Algorithmus, prüft TLSA-Records am Mail-Backend-MX-Host und CAA am Apex/MTA-STS-Subdomain. DNSViz bietet eine visuelle Chain-of-Trust-Analyse für komplexe DNSSEC-Setups.
Häufige Fehler bei Cloudflare DNS DNSSEC + DANE + CAA
DS-Record beim externen Registrar vergessen
Problem: DNSSEC im Cloudflare Dashboard aktiv, aber dig +dnssec zeigt kein „ad“-Flag. Ursache: DS-Record bei externem Registrar (z.B. DENIC für .de) nicht eingetragen. Lösung: Im Cloudflare Dashboard den DS-Record kopieren und beim Registrar im DNSSEC-Bereich eintragen.
Proxied A-Record für MX-Hostname
Problem: Mailserver mail.example.com hat A-Record mit Proxy „on“ (orange Wolke) — SMTP wird durch Cloudflare proxied und schlägt fehl. Ursache: Default-Setup setzt A-Records auf „Proxied“. Lösung: Im DNS-Editor den A-Record für den MX-Hostnamen auf „DNS only“ (graue Wolke) — Cloudflare proxiert keinen SMTP-Verkehr (Port 25).
Email Routing aktiviert + alte MX-Records parallel
Problem: Cloudflare Email Routing aktiviert (route1-3.mx.cloudflare.net), aber alte Microsoft-365- oder Postfix-MX-Records bestehen parallel. Ursache: Email Routing wurde aktiviert ohne alte MX zu löschen. Lösung: Im Dashboard alle MX-Records außer den Email-Routing-Records entfernen — sonst routet Cloudflare unklar.
Compliance: NIS2, BSI TR-03108 und DSGVO mit Cloudflare DNS
Eine DNSSEC-gesicherte Cloudflare-DNS-Zone mit Algorithmus 13 (ECDSAP256SHA256), TLSA-Records und CAA-Records ist der prüfbare Nachweis für NIS2 Art. 21 Abs. 2 lit. h (Kryptografie und Verschlüsselung). Cloudflare ist nach ISO 27001, SOC 2 Type II und PCI DSS zertifiziert; bietet Standardvertragsklauseln (SCC) für DSGVO Art. 46 und EU Data Boundary (seit 2024 mit Frankfurter Datenresidenz für DNS-Logs für EU-Kunden verfügbar). Für sensible Branchen (Gesundheit, Justiz, Verteidigung) kann der US-Konzern-Hintergrund ein CLOUD-Act-Risiko darstellen — Alternative ist deSEC (Berlin), Hetzner DNS (DE/FI), IONOS (DE) oder Hostpoint (CH).
Cloudflare DNS Compliance-Stack: NIS2 lit. h (DNSSEC ECDSAP256SHA256 + TLSA + CAA, 1-Click) + NIS2 lit. c (Global Anycast-Redundanz) + BSI TR-03108 (DNS-Sicherung Cloudflare-managed) + DSGVO Art. 32 lit. b (Verfügbarkeit + EU Data Boundary). Wolf-Agents-USP: Der Email Security Check erkennt Cloudflare-DNS (NS-Pattern *.ns.cloudflare.com), unterscheidet Email Routing von externem Mailserver, warnt bei Proxied-A-Record für MX-Host und validiert die DNSSEC-Kette mit ECDSAP256SHA256 — kein anderer DACH-Scanner deckt diese vier Cloudflare-DNS-spezifischen Drift-Klassen ab. Cross-Verweis: DNS-Hijacking-Spoofing und SubdoMailing.
DNS-Sicherheits-Anleitung für weitere Provider:
Wie steht Ihre Domain bei DNS-Sicherheit · Cloudflare DNS?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.