DNSSEC, DANE & CAA für Hetzner Webhosting
Hetzner Webhosting nutzt die Hetzner DNS Console (dns.hetzner.com) für die DNS-Verwaltung — der DNSSEC-Status ist nach offizieller Hetzner-Dokumentation (Oktober 2018, publiziert 2020) explizit als nicht unterstützt dokumentiert. Den aktuellen Stand pro Zone im Panel verifizieren; alternative DNSSEC-Strategie mit deSEC oder Cloudflare. CAA-Records über DNS Console.
DNS-Sicherheit für Hetzner Webhosting
Hetzner bietet drei separate Dienste für DNS und Mail: (a) Hetzner Webhosting (Mailserver inkl. mail.your-server.de-MX-Backend, DNS via Hetzner DNS Console), (b) Hetzner Cloud (vServer mit eigenem Postfix/Mailcow, DNS und PTR über Cloud Console + DNS Console), (c) Hetzner Robot (dedizierte Server + Domain-Registrar, eigene Robot-DNS-Schnittstelle für PTR-Reverse-DNS). Für die DNS-Sicherheit ist primär die Hetzner DNS Console (dns.hetzner.com) relevant — sie verwaltet öffentliche DNS-Records einer Zone. Der DNSSEC-Status laut offizieller Hetzner-Dokumentation (docs.hetzner.com/dns-console/dns/general/dnssec, Stand 17. Oktober 2018 / publiziert 25. März 2020): „we are not currently planning to implement DNSSEC. However, should demand increase, we are open to reconsidering this decision in the future.“ — den aktuellen Status pro Zone im Panel zu verifizieren ist Pflicht, da sich Provider-Politik ändern kann.
Alternative DNSSEC-Strategien: Wenn Hetzner DNS Console kein natives DNSSEC anbietet, migrieren Sie die DNS-Verwaltung zu einem DNSSEC-nativen Anbieter — deSEC.io (Berlin, kostenlos, DNSSEC by default), Cloudflare (1-Click-Aktivierung, Algorithmus 13), INWX oder Netcup DNS. Die Domain kann beim Hetzner-Robot-Registrar bleiben — nur die Nameserver werden umgestellt, der DS-Record des neuen Providers wird im Hetzner-Robot in der Domain-Verwaltung eingetragen.
Hardening-Pfad: MX-Record → SPF → DKIM → DMARC → MTA-STS → DNSSEC + CAA (dieser Guide). Bedrohungs-Cluster: DNS-Hijacking-Spoofing und SubdoMailing.
DNSSEC-Status der Hetzner DNS Console prüfen
Im Hetzner-DNS-Console-Panel (dns.hetzner.com) pro Zone den aktuellen DNSSEC-Status verifizieren. Die offizielle Hetzner-Doku (Stand Oktober 2018, publiziert 25. März 2020) beschreibt DNSSEC als nicht unterstützt. Für Wolf-Agents-Kunden mit aktivem Hetzner-DNS-Setup empfiehlt sich eine Panel-Sichtprüfung — der Status kann sich seither geändert haben.
Hetzner-DNSSEC-Panel-Check
- Im dns.hetzner.com mit Hetzner-Account anmelden
- Die Domain als Zone öffnen
- In den Zone-Einstellungen nach „DNSSEC“ suchen
- Wenn vorhanden: DNSSEC-Status verifizieren und ggf. aktivieren
- Wenn nicht vorhanden: DNS-Migration zu DNSSEC-fähigem Anbieter (Schritt 2)
Alternative: DNS-Verwaltung zu DNSSEC-fähigem Provider migrieren
Wenn Hetzner DNS Console DNSSEC weiterhin nicht unterstützt, migrieren Sie die DNS-Verwaltung zu einem nativ DNSSEC-fähigen Provider. Empfohlene EU-DACH-Alternativen: deSEC.io (Berlin, laut Marketing gemeinnützig betrieben — Rechtsform-Detail über die JavaScript-basierte deSEC-Website ohne JS-Rendering nicht direkt verifizierbar, DNSSEC by default, kostenlos), Cloudflare (1-Click-Aktivierung, Algorithmus 13), INWX oder Netcup DNS.
Die Domain kann beim Hetzner-Robot-Registrar verbleiben — nur die Nameserver werden auf den externen DNSSEC-Provider umgestellt. Den DS-Record des neuen Providers tragen Sie im Hetzner-Robot unter Domain-Verwaltung → DNSSEC ein. Das reduziert den Migrationsaufwand auf eine NS-Änderung beim Registrar plus DS-Record-Eintrag.
Unter den DNSSEC-fähigen Alternativen ist deSEC.io (desec.io) für Hetzner-Bestandskunden besonders relevant: Laut deSEC-Marketing („deSEC – Free Secure DNS“) werden alle Domains standardmäßig DNSSEC-signiert, kostenlos, mit REST-API und Berliner Träger — die exakte Rechtsform (laut Marketing-Material gemeinnütziger Verein, die Detail-Verifikation der Vereinssatzung ist über die JavaScript-basierte deSEC-Website ohne JS-Rendering nicht direkt zugänglich) wird hier konservativ als „laut deSEC-Marketing“ markiert. Der Migrationspfad ist minimal-invasiv: (1) deSEC-Account erstellen, (2) Zone-Import via REST-API oder Web-UI, (3) im Hetzner-Robot die Nameserver auf ns1.desec.io und ns2.desec.org umstellen, (4) DS-Record-Hash aus dem deSEC-Panel im Hetzner-Robot unter Domain-Verwaltung → DNSSEC eintragen. Die Hetzner-Cloud-Server für Webhosting/Mailcow bleiben unverändert — nur die DNS-Layer wechselt. Vorteil für DSGVO-strenge Kunden: deSEC bleibt im EU-Raum, keine US-CLOUD-Act-Exposition.
CAA-Records in Hetzner DNS Console (oder externem DNS-Hoster) anlegen
Hetzner DNS Console unterstützt die Anlage von CAA-Records über das DNS-Editor-Interface — alternativ am gewählten DNSSEC-Provider. Hetzner-Webhosting-SSL nutzt typisch Let's Encrypt, daher muss letsencrypt.org in den CAA-Records autorisiert sein.
; CAA-Records in der Hetzner DNS Console (RFC 8659)
ihre-domain.de. IN CAA 0 issue "letsencrypt.org" ; Hetzner Webhosting nutzt typisch Let's Encrypt
ihre-domain.de. IN CAA 0 issuewild ";"
ihre-domain.de. IN CAA 0 iodef "mailto:security@ihre-domain.de"Bei Hetzner-Cloud-Server mit eigenem Postfix/Mailcow gehört das CAA-Recordmanagement zur eigenen DNS-Zone — kombiniert mit DANE TLSA für Postfix für maximale Sicherheit. Der PTR-Record wird im Hetzner-Cloud-Panel pro IP gesetzt (nicht in DNS Console).
DNSSEC + CAA verifizieren
Nach Aktivierung (oder externem DNSSEC-Setup) prüfen Sie die DNSSEC-Kette, CAA und NS-Konsistenz per dig.
# DNSSEC bei Hetzner DNS prüfen
dig +dnssec MX ihre-domain.de | grep -E "RRSIG|ad;"
# DS-Record beim Registrar (z.B. Hetzner Robot)
dig DS ihre-domain.de @1.1.1.1 +short
# CAA-Records
dig CAA ihre-domain.de +short
# Hetzner-DNS-Nameserver verifizieren
dig NS ihre-domain.de +short
# Erwartet: hydrogen.ns.hetzner.com, oxygen.ns.hetzner.com, helium.ns.hetzner.comValidieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser erkennt Hetzner-DNS-Pattern (NS hydrogen/oxygen/helium.ns.hetzner.com) und externe DNS-Pattern, prüft DNSSEC-Status und validiert CAA. Das Monitoring überwacht DNS-Drift bei NS-Wechseln.
Häufige Fehler bei Hetzner DNSSEC + CAA
DNSSEC in Hetzner DNS Console erwartet
Problem: Hetzner DNS Console wird als DNSSEC-fähig angenommen. Ursache: Provider-Politik laut Doku Oktober 2018: nicht unterstützt. Lösung: Panel-Sichtprüfung; bei nicht verfügbarem DNSSEC zu deSEC/Cloudflare/INWX migrieren — Domain beim Hetzner-Registrar belassen.
DS-Record im Hetzner Robot vergessen
Problem: Nach Migration zu externem DNSSEC-Provider den DS-Record im Hetzner-Robot vergessen. Ursache: DNSSEC am DNS-Provider aktiv, aber DENIC sieht keinen DS-Record. Lösung: Im Hetzner Robot → Domain-Verwaltung → DNSSEC den DS-Record vom DNS-Provider eintragen.
CAA blockiert Let's-Encrypt-Renewal
Problem: CAA mit nur sectigo.com gesetzt, Let's-Encrypt-Renewal scheitert. Ursache: Hetzner-Webhosting-SSL nutzt typisch Let's Encrypt. Lösung: letsencrypt.org als issue-Tag ergänzen.
Compliance: NIS2, BSI TR-03108 und DSGVO mit Hetzner
Hetzner ist ISO/IEC 27001-zertifiziert (BSI C5 für Cloud), Rechenzentren ausschließlich in Falkenstein, Nürnberg und Helsinki — keine US-Präsenz, native EU-Datensouveränität. Für NIS2 Art. 21 Abs. 2 lit. h (Kryptografie und Verschlüsselung) ist DNSSEC eine prüfbare Maßnahme — wenn Hetzner DNS Console DNSSEC nicht anbietet, sichert eine deSEC-/Cloudflare-Migration mit DS-Record im Hetzner-Robot die Compliance. Hetzner ist für DACH-Kunden in regulierten Branchen die natürliche EU-Wahl.
Hetzner DNS-Compliance-Stack: NIS2 lit. h (DNSSEC via deSEC/Cloudflare + DS-Record im Hetzner-Robot, falls Hetzner-DNS-Console keinen Native-Support bietet) + NIS2 lit. c (Anycast-NS-Redundanz) + BSI TR-03108 (DNS-Sicherung extern oder Hetzner-managed) + DSGVO Art. 32 lit. b (EU-Datensouveränität Falkenstein/Nürnberg/Helsinki). Wolf-Agents-USP: Der Email Security Check erkennt Hetzner-NS-Pattern (Hetzner DNS Console und externe Provider Stack-Detection), prüft DNSSEC-Status mit Konservativ-Formulierung, validiert CAA und warnt bei DS-Record-Asymmetrie. Cross-Verweis: DNS-Hijacking-Spoofing und SubdoMailing.
DNS-Sicherheits-Anleitung für weitere Provider:
Wie steht Ihre Domain bei DNS-Sicherheit · Hetzner Webhosting?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.