DNSSEC, DANE & CAA für Hostpoint aktivieren

Hostpoint ist der größte Schweizer Hosting-Anbieter (Rapperswil-Jona) — DNSSEC-Status im HCP (Hostpoint Control Panel) pro Domain prüfen, CAA-Records über HCP-DNS-Editor anlegen. Schweizer Datensouveränität (revDSG Art. 8), NIS2 lit. h Compliance auf DNS-Schicht.

DNS-Sicherheit prüfen Plattform entdecken

Hostpoint · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 16. Mai 2026

DNS-Sicherheit für Hostpoint (Schweiz)

Hostpoint AG ist der größte Schweizer Webhosting-Anbieter mit Sitz in Rapperswil-Jona — eigentümergeführt, alle Rechenzentren in der Schweiz, ISO/IEC 27001-zertifiziert. DNS-Verwaltung über das HCP (Hostpoint Control Panel). Der DNSSEC-Status pro Domain ist im HCP einsehbar und für unterstützte TLDs aktivierbar — den aktuellen Stand pro Zone direkt im Panel oder via Hostpoint-Support (support.hostpoint.ch, Telefon +41 55 220 70 80) verifizieren. CAA-Records werden über den HCP-DNS-Editor angelegt.

Schweizer Compliance-Schicht: Das revidierte Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) fordert in Art. 8 die Gewährleistung der „angemessenen Datensicherheit“ — DNSSEC ist Stand der Technik nach RFC 4033 und damit eine prüfbare Maßnahme. Schweizer Datensouveränität durch Schweizer Rechenzentrums-Standort, kein US-CLOUD-Act-Risiko, kein direkter Konzern-Bezug zu US-Providern. Für Wolf-Agents-Kunden in der DACH-CH-Region und in regulierten Branchen (Banken-Compliance via FINMA, ärztliche Schweigepflicht) ist Hostpoint die natürliche Schweizer Wahl.

Hardening-Pfad: MX-Record → SPF → DKIM → DMARC → DNSSEC + CAA (dieser Guide). Bedrohungs-Cluster: DNS-Hijacking-Spoofing und SubdoMailing.

Ausführliche Einführung in DNS-Sicherheit

1 Schritt 1 von 4

HCP DNS-Editor öffnen

Das HCP (Hostpoint Control Panel, admin.hostpoint.ch) ist das zentrale Verwaltungs-Panel. DNSSEC und CAA werden pro Domain im DNS-Editor konfiguriert.

Menüpfad im HCP

Im HCP (admin.hostpoint.ch) anmelden
Navigieren zu Services → Domains
Die Domain auswählen und DNS-Editor öffnen
Bestehende Records prüfen und nach DNSSEC-Bereich suchen

2 Schritt 2 von 4

DNSSEC-Status der TLD und Hostpoint-Konfiguration prüfen

Der DNSSEC-Support bei Hostpoint ist TLD-abhängig — .ch-Domains (SWITCH-Registry) sind sehr gut unterstützt, internationale TLDs variieren. Im HCP DNSSEC-Bereich aktivieren, der DS-Record wird zur SWITCH (für .ch) automatisch übertragen. Bei externer Registrierung (Internationale TLD) muss der DS-Record exportiert und beim externen Registrar manuell eingetragen werden.

SWITCH-Registry für .ch und .li-Domains

SWITCH (Schweizer NIC für .ch und .li) hat hohe DNSSEC-Adoption — laut SWITCH-Statistik liegt die DNSSEC-Validierungs-Rate in der Schweiz im EU-Vergleich überdurchschnittlich. Hostpoint nutzt SWITCH-Schnittstellen für automatisches DS-Record-Update bei Aktivierung.

Hostpoint SWITCH-Auto-Sync-Mechanik (Mehrwert-Recherche 2026-05-18)

Bei Hostpoint-Domains mit der TLD .ch oder .li erfolgt der DS-Record-Sync zur SWITCH-Registry automatisch nach DNSSEC-Aktivierung im HCP — kein manueller Registrar-Workflow nötig. SWITCH-Hintergrund: SWITCH wurde am 22. Oktober 1987 in Bern als Stiftung gegründet und hat heute den Sitz in Zürich (Wikipedia-Eintrag, abgerufen 2026-05-18). SWITCH betreibt die Ländercode-Top-Level-Domains .ch für die Schweiz und .li für Liechtenstein und unterhält parallel das akademische Forschungs-Netzwerk SWITCH lan / SWITCHengines. Die hohe DNSSEC-Validierungs-Rate in der Schweiz wird durch SWITCH-Initiativen gefördert. Compliance-Konsequenz: Schweizer Datensouveränität ist bei Hostpoint mehrschichtig — (1) Daten in Schweizer Rechenzentren (Hostpoint Rapperswil-Jona), (2) Registry in der Schweiz (SWITCH Zürich), (3) DNSSEC-Trust-Chain über SWITCH-TLD-Signierung. Quelle: en.wikipedia.org/wiki/SWITCH_Information_Technology_Services (abgerufen 2026-05-18).

3 Schritt 3 von 4

CAA-Records über HCP-DNS-Editor anlegen

Im HCP-DNS-Editor CAA-Records (RFC 8659) anlegen. Hostpoint integriert Let's Encrypt für SSL-Zertifikate, daher muss letsencrypt.org autorisiert sein.

; CAA-Records über Hostpoint HCP-DNS-Editor (RFC 8659)
ihre-domain.ch.  IN  CAA  0 issue     "letsencrypt.org"
ihre-domain.ch.  IN  CAA  0 issuewild ";"
ihre-domain.ch.  IN  CAA  0 iodef     "mailto:security@ihre-domain.ch"

4 Schritt 4 von 4

DNSSEC + CAA verifizieren

Nach Aktivierung prüfen Sie die DNSSEC-Kette per dig — SWITCH propagiert DS-Records typisch innerhalb von 1-24 Stunden.

# DNSSEC bei Hostpoint prüfen
dig +dnssec MX ihre-domain.ch | grep -E "RRSIG|ad;"

# DS-Record bei SWITCH (.ch-Registry)
dig DS ihre-domain.ch @1.1.1.1 +short

# CAA-Records
dig CAA ihre-domain.ch +short

# Hostpoint-NS verifizieren
dig NS ihre-domain.ch +short

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser erkennt Hostpoint-NS-Pattern (Stack-Detection), prüft DNSSEC-Kette inkl. SWITCH-DS-Konsistenz und validiert CAA.

Häufige Fehler bei Hostpoint DNSSEC + CAA

DNSSEC für nicht-CH-TLD ohne externe Aktivierung

Problem: .com/.net/.de-Domain bei externem Registrar, Hostpoint-DNS hostet. DS-Record beim externen Registrar fehlt. Ursache: Hostpoint propagiert DS-Records automatisch nur für SWITCH (.ch/.li) — bei externem Registrar manueller Schritt. Lösung: DS-Record aus dem HCP exportieren und beim externen Registrar im DNSSEC-Bereich eintragen.

CAA blockiert Hostpoint-SSL

Problem: CAA nur mit digicert.com, Hostpoint-Let's-Encrypt-Renewal scheitert. Ursache: Hostpoint nutzt Let's Encrypt für SSL. Lösung: letsencrypt.org als issue-Tag ergänzen.

Schweizer-Datensouveränität-Annahme ohne Prüfung

Problem: Annahme, dass Hostpoint US-frei ist — ohne Prüfung der CAs in der CAA-Politik. Ursache: Let's Encrypt ist US-NGO (ISRG), keine reine Schweizer CA. Lösung: Für strenge CH-Datensouveränität CH-CAs (SwissSign) erwägen oder den CA-Mix dokumentieren — Hostpoint-DNS-Hosting bleibt CH-souverän, aber die TLS-CA-Wahl ist eine separate Compliance-Entscheidung.

Compliance · NIS2 · revDSG · DSGVO

Compliance: NIS2, revDSG Art. 8 und DSGVO mit Hostpoint

Hostpoint AG (Rapperswil-Jona) ist eigentümergeführt mit Schweizer Datensouveränität, ISO/IEC 27001-zertifiziert, alle Rechenzentren in der Schweiz — kein US-CLOUD-Act-Risiko. Eine DNSSEC-gesicherte Hostpoint-Domain mit CAA-Records ist der prüfbare Nachweis für Schweizer revDSG Art. 8 (Datensicherheit, in Kraft seit 1. September 2023) und für NIS2 Art. 21 Abs. 2 lit. h (Kryptografie und Verschlüsselung). Für Wolf-Agents-Kunden mit EU-Geschäft gilt DSGVO Art. 32 ergänzend.

Hostpoint DNS-Compliance-Stack: Schweizer revDSG Art. 8 (Datensicherheit, DNSSEC als Stand der Technik) + NIS2 lit. h (Kryptografie + CAA) + NIS2 lit. c (CH-Multi-RZ-Redundanz) + BSI TR-03108-Äquivalent + DSGVO Art. 32 lit. b (Verfügbarkeit, CH-Datensouveränität). Wolf-Agents-USP: Der Email Security Check erkennt Hostpoint-NS-Pattern, prüft DNSSEC-Kette mit SWITCH-DS-Konsistenz, validiert CAA und scannt MX-/SPF-/DKIM-/DMARC-Records gemäß Schweizer Stand der Technik. Cross-Verweis: DNS-Hijacking-Spoofing und SubdoMailing.

DNS-Sicherheits-Anleitung für weitere Provider:

Microsoft 365 Google Workspace IONOS Strato All-Inkl Hetzner Netcup Hostpoint Infomaniak World4You Proton Mail Postfix Exim Mailcow Cloudflare DNS Hetzner DNS

Wie steht Ihre Domain bei DNS-Sicherheit · Hostpoint?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten