DNSSEC, DANE & CAA für Hetzner DNS Console

Hetzner DNS Console DEEP DIVE: DNSSEC-Status konservativ formuliert — die offizielle Hetzner-Dokumentation Stand Oktober 2018 (publiziert 25. März 2020) dokumentiert DNSSEC explizit als nicht unterstützt. Den aktuellen Status pro Zone im DNS-Console-Panel verifizieren; alternative DNSSEC-Strategie mit deSEC/Cloudflare/INWX/Netcup. CAA über DNS-Console. EU-Datensouveränität Falkenstein/Nürnberg/Helsinki.

DNS-Sicherheit prüfen Plattform entdecken
Hetzner DNS · DEEP DIVE
Von Wolf-Agents Security Team · Aktualisiert: 16. Mai 2026

Hetzner DNS Console — DNSSEC, DANE und CAA im Detail

Hetzner DNS Console (dns.hetzner.com) ist ein kostenloses DNS-Hosting-Service mit Anycast-Nameservern (hydrogen.ns.hetzner.com, oxygen.ns.hetzner.com, helium.ns.hetzner.com) in deutschen Rechenzentren (Falkenstein, Nürnberg) und Helsinki. Anders als Cloudflare bietet Hetzner DNS kein eigenes Email Routing — Hetzner DNS hostet ausschließlich DNS-Records. DNSSEC-Status konservativ formuliert: Die offizielle Hetzner-Dokumentation (docs.hetzner.com/dns-console/dns/general/dnssec, Stand 17. Oktober 2018 / publiziert 25. März 2020) dokumentiert: „we are not currently planning to implement DNSSEC. However, should demand increase, we are open to reconsidering this decision in the future.“ — der aktuelle Stand der Hetzner DNS Console kann sich seither geändert haben, eine Panel-Sichtprüfung pro Zone ist verbindlich.

Alternative DNSSEC-Strategie bei fehlender Hetzner-DNSSEC-Unterstützung: DNS-Verwaltung zu einem DNSSEC-nativen Provider migrieren. Empfohlene EU-DACH-Alternativen: deSEC.io (Berlin, laut Marketing gemeinnützig betrieben — exakte Rechtsform aus deSEC-Website ohne JS-Rendering nicht direkt verifizierbar, DNSSEC by default, REST-API), Cloudflare DNS (1-Click-Aktivierung, Algorithmus 13 ECDSAP256SHA256), INWX (deutsche Registry mit DNSSEC), Netcup DNS (CCP-Panel, ECDSAP256SHA256 + ECDSAP384SHA384 + Ed25519 + RSASHA256 je nach TLD). Die Domain kann beim Hetzner-Robot-Registrar verbleiben — nur die Nameserver werden auf den externen DNSSEC-Provider umgestellt, der DS-Record des neuen Providers wird im Hetzner-Robot eingetragen.

Wichtige Klarstellung — Hetzner DNS ist DNS-Hoster, NICHT Mail-Hoster: Der MX-Record zeigt auf einen externen Mailserver Ihrer Wahl (Microsoft 365, Google Workspace, eigener Postfix/Mailcow auf Hetzner-Cloud-Server, Proton Mail). TLSA-Records gelten für den dahinter liegenden Mailserver, CAA für die TLS-Zertifikatskontrolle. Bedrohungs-Cluster: Ein DNSSEC-gehärteter MX-Record (über deSEC/Cloudflare als externer DNS-Provider) schließt DNS-Hijacking-Spoofing und SubdoMailing mit deutscher Datensouveränität bei Migration zu deSEC.

Ausführliche Einführung in DNS-Sicherheit

1 Schritt 1 von 4

DNSSEC-Status in Hetzner DNS Console pro Zone prüfen

Im dns.hetzner.com-Panel pro Zone den aktuellen DNSSEC-Status verifizieren. Die offizielle Hetzner-Dokumentation (Stand Oktober 2018) beschreibt DNSSEC als nicht unterstützt — der aktuelle Stand kann sich seither geändert haben. Für Wolf-Agents-Kunden mit aktivem Hetzner-DNS-Setup empfiehlt sich eine Panel-Sichtprüfung.

Hetzner-DNSSEC-Panel-Check

  1. Im dns.hetzner.com mit Hetzner-Account anmelden
  2. Die Domain als Zone öffnen
  3. In den Zone-Einstellungen nach „DNSSEC“ suchen
  4. Wenn vorhanden: DNSSEC-Status aktivieren, DS-Record exportieren
  5. Wenn nicht vorhanden: DNS-Migration zu DNSSEC-fähigem Anbieter (Schritt 2)
2 Schritt 2 von 4

Alternative DNSSEC-Strategie wählen

Wenn Hetzner DNS Console kein DNSSEC anbietet, migrieren Sie die DNS-Verwaltung zu einem DNSSEC-nativen Provider. Die Domain kann beim Hetzner-Robot-Registrar verbleiben — nur die Nameserver werden umgestellt.

Empfohlene EU-DACH DNSSEC-Alternativen

  1. deSEC.io (Berlin, kostenlos, DNSSEC by default, REST-API; laut Marketing gemeinnützig — Rechtsform-Detail via deSEC-Web-Site ohne JS-Rendering nicht direkt verifizierbar)
  2. Cloudflare DNS (1-Click, Algorithmus 13 ECDSAP256SHA256, US-Anbieter mit EU Data Boundary)
  3. INWX (deutsche Registry, vollständiger DNSSEC-Support)
  4. Netcup DNS (CCP-Panel, ECDSAP256SHA256, DE)
Split-Setup mit Hetzner-Registrar + externer DNSSEC-DNS

Beim externen DNS-Provider DNSSEC aktivieren, DS-Record exportieren, im Hetzner Robot unter Domain-Verwaltung → DNSSEC eintragen. Bei .de-Domains leitet Hetzner den DS-Record zur DENIC weiter. Migrationsaufwand: NS-Wechsel im Hetzner Robot + DS-Eintrag → typisch 1-24 Stunden Propagation.

3 Schritt 3 von 4

TLSA + CAA-Records in Hetzner DNS Console anlegen

Hetzner DNS Console unterstützt TLSA und CAA als Record-Typen — beide werden im DNS-Editor angelegt (Record-Type-Dropdown → TLSA bzw. CAA). Wichtig: TLSA-Records sind nur wirksam, wenn DNSSEC am eigenen Apex aktiv ist (Schritt 1 oder Schritt 2 mit externem DNSSEC-Provider).

TLSA + CAA in Hetzner DNS Console RFC 6698 + 8659 
; TLSA-Record für eigenen Mailserver (DANE) — nur wirksam mit aktivem DNSSEC
_25._tcp.mail.example.de.  IN  TLSA  3 1 1  53eede6fbcd34c0eba3...

; CAA-Records (Hetzner DNS Console → DNS-Editor → Record-Type: CAA)
example.de.  IN  CAA  0 issue     "letsencrypt.org"    ; Hetzner-Webhosting + Mailcow
example.de.  IN  CAA  0 issuewild ";"
example.de.  IN  CAA  0 iodef     "mailto:security@example.de"

; Subdomain-spezifisch
mta-sts.example.de.  IN  CAA  0 issue "letsencrypt.org"
Hetzner DNS API für IaC-Automatisierung

Hetzner DNS bietet eine HTTP-API für programmatischen Zugriff — ideal für Terraform, Ansible, oder eigene Deployment-Skripte. Der API-Token wird in der DNS Console unter API-Zugänge erstellt. Endpunkte unter https://dns.hetzner.com/api/v1. Quelle: docs.hetzner.com/dns-console/dns (abgerufen 2026-05-16). Bei DANE-Automatisierung: Pre-Renewal-Hook für Let's Encrypt aktualisiert TLSA-Record über die Hetzner-DNS-API.

Hetzner DNS API-Token-Workflow im Detail (Mehrwert-Recherche 2026-05-18)

Hetzner dokumentiert den API-Token-Workflow (docs.hetzner.com/dns-console/dns/general/api-access-token, Abruf 2026-05-18) als 3-Schritte-Prozess: (1) im Dashboard auf „Click the `Manage API tokens` button on the dashboard to add a new access token“, (2) „a distinctive name for the access token“ wählen für spätere Zuordnung, (3) Token sofort speichern — laut Hetzner-Doku „you won't be able to access it again“, der Token wird nicht erneut angezeigt. Die vollständige API-Dokumentation liegt unter dns.hetzner.com/api-docs/. Praxis-Beispiel für TLSA-Automatisierung: Ein Cron-Job kann nach jedem Let's-Encrypt-Renewal den neuen Public-Key-Hash via hash-slinger berechnen und via PUT /api/v1/records/{record_id} in der Hetzner-DNS-Zone aktualisieren — Race-Conditions vermeiden durch Pre-Publishing (zweiten TLSA-Record vor dem Renewal anlegen, alten Record erst nach 24h-TTL entfernen). deSEC.io als europäische DNSSEC-Alternative (laut deSEC-Marketing): Wenn Hetzner DNS Console weiterhin keinen DNSSEC-Signing-Support bietet, ist deSEC.io (Berlin) die natürliche EU-Migration — kostenlos, DNSSEC by default, eigene REST-API mit Token-basierter Auth. Die Domain kann beim Hetzner-Robot-Registrar verbleiben, nur die Nameserver wechseln auf ns1.desec.io und ns2.desec.org, der DS-Record aus dem deSEC-Panel wird im Hetzner Robot unter Domain-Verwaltung → DNSSEC eingetragen. Detail-Verifikation der deSEC-Vereinsstruktur (Sponsoren, Mitglieder) erfordert tiefere Provider-Recherche und wird hier konservativ als „laut deSEC-Marketing“ markiert.

4 Schritt 4 von 4

DNSSEC + DANE + CAA verifizieren

Nach Aktivierung (oder externem DNSSEC-Setup) prüfen Sie die DNSSEC-Kette, TLSA, CAA und NS-Konsistenz per dig.

Terminal — dig / Hetzner DNS API Verifikation 
# DNSSEC-Status prüfen (auch wenn Hetzner-Doku 2018 keinen Native-Support nennt —
# aktuelle Hetzner DNS Console kann sich entwickelt haben)
dig +dnssec MX example.de | grep -E "RRSIG|ad;"

# Bei aktiver externer DNSSEC-Migration (deSEC/Cloudflare):
dig DS example.de @1.1.1.1 +short

# TLSA + CAA
dig TLSA _25._tcp.mail.example.de +short
dig CAA example.de +short

# Hetzner-DNS-NS verifizieren
dig NS example.de +short
# Erwartet: hydrogen.ns.hetzner.com, oxygen.ns.hetzner.com, helium.ns.hetzner.com

# Hetzner DNS API für IaC-Automatisierung
curl -H "Auth-API-Token: \$HETZNER_DNS_TOKEN" \
  "https://dns.hetzner.com/api/v1/zones"

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser erkennt Hetzner-DNS-Hosting automatisch (NS-Pattern hydrogen/oxygen/helium.ns.hetzner.com), prüft DNSSEC-Status (mit Konservativ-Formulierung bei fehlender Aktivierung), validiert TLSA + CAA und warnt bei DS-Record-Asymmetrie. DNSViz bietet eine visuelle Chain-of-Trust-Analyse.

Häufige Fehler bei Hetzner DNS DNSSEC + DANE + CAA

DNSSEC bei Hetzner DNS Console angenommen

Problem: Hetzner DNS Console als DNSSEC-fähig vorausgesetzt. Ursache: Provider-Politik laut Hetzner-Doku Oktober 2018: nicht unterstützt — aktueller Status kann sich geändert haben. Lösung: Panel-Sichtprüfung; bei fehlendem DNSSEC zu deSEC/Cloudflare/INWX/Netcup migrieren — Domain beim Hetzner-Registrar belassen, DS-Record im Hetzner Robot eintragen.

TLSA-Records ohne DNSSEC am Apex

Problem: TLSA-Records in Hetzner DNS gesetzt, aber DNSSEC am Apex inaktiv → sendende Mailserver ignorieren TLSA. Ursache: RFC 7672 § 3 fordert DNSSEC-Kette für TLSA-Validierung. Lösung: DNSSEC erst aktivieren (entweder bei Hetzner falls verfügbar, oder via externe Migration), dann TLSA wirksam.

CAA blockiert Let's-Encrypt-Renewal bei Mailcow auf Hetzner-Cloud

Problem: CAA mit nur sectigo.com gesetzt, Mailcow-Let's-Encrypt-Renewal scheitert. Ursache: Mailcow integriert Let's Encrypt nativ. Lösung: letsencrypt.org als issue-Tag am Apex und auf mta-sts-Subdomain ergänzen.

Compliance · NIS2 · BSI · DSGVO · EU-Datensouveränität

Compliance: NIS2, BSI TR-03108 und DSGVO mit Hetzner DNS

Hetzner ist ISO/IEC 27001-zertifiziert (BSI C5 für Cloud), Rechenzentren ausschließlich in Falkenstein, Nürnberg und Helsinki — keine US-Präsenz, native EU-Datensouveränität ohne CLOUD-Act-Risiko. Für NIS2 Art. 21 Abs. 2 lit. h (Kryptografie und Verschlüsselung) ist DNSSEC eine prüfbare Maßnahme — wenn Hetzner DNS Console DNSSEC nicht nativ anbietet (Stand Hetzner-Doku Oktober 2018), sichert eine deSEC- oder Cloudflare-Migration mit DS-Record im Hetzner-Robot die Compliance. Hetzner ist für DACH-Kunden in regulierten Branchen die natürliche EU-Wahl.

Hetzner DNS Compliance-Stack: NIS2 lit. h (DNSSEC via deSEC/Cloudflare-Migration + DS-Record im Hetzner-Robot, falls Hetzner DNS Console keinen Native-Support bietet) + NIS2 lit. c (Anycast-NS-Redundanz Falkenstein/Nürnberg/Helsinki) + BSI TR-03108 (DNS-Sicherung extern oder Hetzner-managed) + DSGVO Art. 32 lit. b (EU-Datensouveränität, kein US-CLOUD-Act-Risiko). Wolf-Agents-USP: Der Email Security Check erkennt Hetzner-DNS (NS-Pattern hydrogen/oxygen/helium.ns.hetzner.com), prüft DNSSEC-Status mit Konservativ-Formulierung, validiert TLSA + CAA und warnt bei DS-Record-Asymmetrie nach NS-Wechsel. Cross-Verweis: DNS-Hijacking-Spoofing und SubdoMailing.

DNS-Sicherheits-Anleitung für weitere Provider:

Microsoft 365Google WorkspaceIONOSStratoAll-InklHetznerNetcupHostpointInfomaniakWorld4YouProton MailPostfixEximMailcowCloudflare DNSHetzner DNS

Wie steht Ihre Domain bei DNS-Sicherheit · Hetzner DNS?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten