DNS-Sicherheit für Bunny CDN konfigurieren

Bunny DNS mit DNSSEC aktivieren, CAA Records für Zertifikatseinschränkung setzen und CNAME-Konfiguration absichern.

DNS prüfen Plattform entdecken
Bunny CDN · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 30. März 2026

DNS-Sicherheit auf Bunny CDN

DNS-Sicherheit schützt vor DNS-Spoofing, Cache-Poisoning und unbefugter Zertifikatsausstellung. Mit 5 von 166 Punkten ist sie ein Faktor im Wolf-Agents Web Security Check. Bunny CDN bietet mit Bunny DNS einen eigenen DNS-Dienst, der DNSSEC, CAA Records und schnelle Anycast-Auflösung unterstützt.

DNSSEC stellt sicher, dass DNS-Antworten nicht manipuliert wurden. CAA Records beschränken, welche Zertifikatsstellen Zertifikate für Ihre Domain ausstellen dürfen. In Kombination verhindern diese Maßnahmen, dass Angreifer gefälschte Zertifikate für Ihre CDN-Domain erhalten. Wolf-Agents empfiehlt, Bunny DNS für CDN-Domains zu verwenden — die Integration mit Pull Zones ist nahtlos und DNSSEC lässt sich mit einem Klick aktivieren.

Ausführliche Einführung in DNS-Sicherheit

1 Schritt 1 von 3

Bunny DNS und DNSSEC aktivieren

Migrieren Sie Ihre Domain zu Bunny DNS und aktivieren Sie DNSSEC. Nach der Aktivierung generiert Bunny einen DS Record, den Sie bei Ihrem Registrar hinterlegen müssen. DNSSEC-Propagierung kann bis zu 48 Stunden dauern. Richten Sie gleichzeitig den CNAME für Ihre Pull Zone ein.

Bunny Dashboard → DNS Dashboard 
# Bunny Dashboard → DNS → Add Domain
# 1. Domain hinzufügen und Nameserver umstellen

Nameserver 1: kiki.bunny.net
Nameserver 2: coco.bunny.net

# 2. DNSSEC aktivieren:
# Bunny Dashboard → DNS → ihre-domain.de → DNSSEC → Enable
# → DS Record beim Registrar hinterlegen

# 3. CNAME für Pull Zone:
Type:  CNAME
Name:  cdn
Value: ihre-domain.b-cdn.net
TTL:   3600
Bunny DNS ist optional

Sie können Bunny CDN auch mit einem externen DNS-Provider nutzen. Setzen Sie einen CNAME auf ihre-domain.b-cdn.net. DNSSEC konfigurieren Sie dann bei Ihrem DNS-Provider. CAA Records müssen dort ebenfalls gesetzt werden.

2 Schritt 2 von 3

CAA Records per Bunny API setzen

CAA Records beschränken, welche Zertifikatsstellen Zertifikate für Ihre Domain ausstellen dürfen. Bunny CDN nutzt Let's Encrypt für kostenlose SSL-Zertifikate — setzen Sie den issue-Record auf letsencrypt.org. Mit issuewild ";" verhindern Sie Wildcard-Zertifikate und mit iodef erhalten Sie Benachrichtigungen bei Verstößen.

Bunny API (cURL) API 
# Bunny API — CAA Record erstellen
curl -X PUT https://api.bunny.net/dnszone/{dnsZoneId}/records \
  -H "AccessKey: YOUR_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
  "Type": 10,
  "Name": "",
  "Value": "0 issue \"letsencrypt.org\"",
  "Ttl": 3600
}'

# Wildcard-Ausstellung einschränken
curl -X PUT https://api.bunny.net/dnszone/{dnsZoneId}/records \
  -H "AccessKey: YOUR_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
  "Type": 10,
  "Name": "",
  "Value": "0 issuewild \";\""  ,
  "Ttl": 3600
}'

# Violation-Reporting
curl -X PUT https://api.bunny.net/dnszone/{dnsZoneId}/records \
  -H "AccessKey: YOUR_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
  "Type": 10,
  "Name": "",
  "Value": "0 iodef \"mailto:security@ihre-domain.de\"",
  "Ttl": 3600
}'
Wenn Sie neben Bunny CDN auch andere Dienste mit eigenen Zertifikaten nutzen (z.B. Google Workspace, andere CDNs), müssen deren CAs ebenfalls im CAA Record autorisiert werden. Vergessene CAs führen zu fehlgeschlagenen Zertifikatsausstellungen.
3 Schritt 3 von 3

DNS-Konfiguration verifizieren

Prüfen Sie DNSSEC-Validierung, CAA Records und CNAME-Auflösung. Bei DNSSEC muss das ad-Flag (Authenticated Data) in der Antwort gesetzt sein. CAA Records müssen die korrekte CA enthalten und der CNAME muss auf die Pull Zone zeigen.

Terminal Verifizieren 
# DNSSEC prüfen
dig +dnssec ihre-domain.de A

# Erwartete Ausgabe: flags: qr rd ra ad (ad = Authenticated Data)

# CAA Records prüfen
dig ihre-domain.de CAA +short

# Erwartete Ausgabe:
0 issue "letsencrypt.org"
0 issuewild ";"
0 iodef "mailto:security@ihre-domain.de"

# CNAME-Auflösung prüfen
dig cdn.ihre-domain.de CNAME +short
ihre-domain.b-cdn.net.

Häufige Fehler

DS Record nicht beim Registrar hinterlegt

DNSSEC funktioniert nur, wenn der DS Record bei Ihrem Domain-Registrar hinterlegt ist. Bunny generiert den DS Record nach der DNSSEC-Aktivierung. Ohne DS Record beim Registrar ist DNSSEC zwar auf Bunny-Seite aktiv, wird aber nicht validiert.

CAA blockiert Zertifikatserneuerung

Wenn Bunny CDN das SSL-Zertifikat erneuern will und der CAA Record die falsche CA enthält, schlägt die Erneuerung fehl. Stellen Sie sicher, dass letsencrypt.org autorisiert ist — Bunny nutzt Let's Encrypt für automatische Zertifikate.

CNAME-Flattening vergessen

Ein CNAME auf der Root-Domain (@) ist nach RFC nicht erlaubt. Bunny DNS unterstützt CNAME-Flattening (ALIAS/ANAME), das dies ermöglicht. Bei externen DNS-Providern prüfen Sie, ob Flattening unterstützt wird, oder verwenden Sie einen A-Record.

Compliance-Relevanz

DNS-Sicherheit ist die Grundlage jeder Webanwendung. NIS2 fordert Sicherheitsmaßnahmen für die gesamte Lieferkette — DNS-Manipulation kann die Sicherheit aller darauf aufbauenden Dienste kompromittieren. BSI IT-Grundschutz (APP.3.1) empfiehlt DNSSEC und CAA Records. PCI DSS verlangt die Absicherung aller Netzwerkkomponenten. Bunny DNS mit Anycast-Netzwerk bietet zusätzlich DDoS-Schutz auf DNS-Ebene. Der Wolf-Agents Web Security Check prüft DNSSEC-Validierung und CAA Records als Teil der DNS-Sicherheitsbewertung.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoStratoJoomlaPHPSpring BootNuxtVercelLiteSpeedAWS CloudFrontAstro

Wie steht Ihre Domain bei DNS-Sicherheit?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo