DNS-Sicherheit auf All-Inkl konfigurieren
CAA-Records im KAS DNS-Editor setzen und DNSSEC-Status prüfen — Zertifikatsausstellung kontrollieren und DNS-Manipulation erschweren.
DNS-Sicherheit auf All-Inkl
DNS-Sicherheit schützt Ihre Domain vor unbefugter Zertifikatsausstellung und DNS-Manipulation. Der wichtigste Schritt: CAA-Records (Certificate Authority Authorization), die festlegen, welche Zertifizierungsstellen Zertifikate für Ihre Domain ausstellen dürfen. Im Wolf-Agents Web Security Check sind DNS-Sicherheitsmaßnahmen 10 von 166 Punkten wert.
Bei All-Inkl verwalten Sie DNS-Records komfortabel über den KAS DNS-Editor. Öffnen Sie KAS, navigieren Sie zu Domain, wählen Sie Ihre Domain und klicken Sie auf DNS-Einstellungen. Dort fügen Sie CAA-Records hinzu, die die Zertifikatsausstellung auf Let's Encrypt beschränken.
CAA-Records im KAS DNS-Editor setzen
Öffnen Sie KAS → Domain → Ihre Domain → DNS-Einstellungen. Erstellen Sie neue CAA-Records. Der issue-Record erlaubt die Zertifikatsausstellung, issuewild gilt für Wildcard-Zertifikate.
# CAA-Records im KAS DNS-Editor setzen
# KAS → Domain → [Domain] → DNS-Einstellungen
# Nur Let's Encrypt darf Zertifikate ausstellen
ihre-domain.de. CAA 0 issue "letsencrypt.org"
# Wildcard-Zertifikate nur von Let's Encrypt
ihre-domain.de. CAA 0 issuewild "letsencrypt.org"
# Benachrichtigung bei Verletzung (optional)
ihre-domain.de. CAA 0 iodef "mailto:security@ihre-domain.de"All-Inkl unterstützt DNSSEC für Domains, die bei All-Inkl registriert sind. Prüfen Sie im KAS unter Domain-Einstellungen, ob DNSSEC aktiviert ist. Bei extern registrierten Domains müssen Sie DNSSEC beim Registrar konfigurieren und die DS-Records dort hinterlegen.
Verifizierung
Prüfen Sie die CAA-Records mit dig. DNS-Änderungen benötigen je nach TTL einige Minuten bis Stunden.
# CAA-Records prüfen
dig +short CAA ihre-domain.de
# Erwartete Ausgabe:
# 0 issue "letsencrypt.org"
# 0 issuewild "letsencrypt.org"
# DNSSEC prüfen
dig +dnssec ihre-domain.dedig @ns1.all-inkl.com CAA ihre-domain.de, um direkt den All-Inkl-Nameserver abzufragen. Häufige Fehler bei DNS-Sicherheit auf All-Inkl
CAA-Record Syntax im KAS DNS-Editor
Im KAS DNS-Editor muss der CAA-Record korrekt formatiert sein: Flag 0, Tag issue, Value "letsencrypt.org" (mit Anführungszeichen). Verwechseln Sie nicht die Felder im Editor-Formular. Testen Sie nach dem Speichern mit dig @ns1.all-inkl.com CAA ihre-domain.de direkt gegen den All-Inkl-Nameserver.
Let's Encrypt-Erneuerung schlägt fehl
Wenn CAA-Records gesetzt sind, aber letsencrypt.org nicht erlaubt ist, schlägt die Zertifikatserneuerung fehl. Prüfen Sie, ob der issue-Record korrekt auf letsencrypt.org zeigt — Tippfehler sind die häufigste Ursache.
DNSSEC-Status nur prüfbar, nicht konfigurierbar
Bei All-Inkl registrierten Domains wird DNSSEC serverseitig verwaltet — Sie können den Status prüfen, aber nicht selbst aktivieren/deaktivieren. Für extern registrierte Domains (z.B. bei DENIC direkt) müssen Sie DNSSEC beim Registrar konfigurieren und die DS-Records dort hinterlegen. Prüfen Sie den DNSSEC-Status mit dig +dnssec ihre-domain.de.
Compliance-Relevanz
DNS-Sicherheit ist ein grundlegender Baustein für die Infrastruktursicherheit und wird von mehreren Frameworks gefordert.
Wie steht Ihre Domain bei DNS-Sicherheit?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.