DNS-Sicherheit bei Cloudflare einrichten
DNSSEC mit einem Klick aktivieren, DS-Record beim Registrar hinterlegen und CAA Records für kontrollierte Zertifikatsausstellung konfigurieren — alles über das Cloudflare Dashboard.
DNSSEC und CAA bei Cloudflare
Cloudflare macht DNS-Sicherheit besonders einfach: DNSSEC lässt sich mit einem Klick im Dashboard aktivieren — Cloudflare generiert und verwaltet die kryptographischen Schlüssel automatisch. CAA Records konfigurieren Sie über die DNS-Records-Seite. Beides zusammen schützt Ihre Domain gegen DNS-Manipulation und unbefugte Zertifikatsausstellung.
DNS-Sicherheit ist mit 5 Bonus-Punkten im Wolf-Agents Web Security Check bewertet. Cloudflare-Nutzer können beide Maßnahmen in unter 15 Minuten konfigurieren — ohne CLI, ohne Zugriff auf Nameserver-Konfiguration.
DNSSEC im Cloudflare Dashboard aktivieren
Cloudflare übernimmt die komplette DNSSEC-Schlüsselgenerierung und -verwaltung. Sie müssen nur die Aktivierung auslösen und den angezeigten DS-Record bei Ihrem Registrar eintragen. ZSK-Rollovers führt Cloudflare automatisch durch.
Öffnen Sie Ihre Domain im Cloudflare Dashboard und navigieren Sie zu den DNS-Einstellungen
Scrollen Sie zum DNSSEC-Abschnitt und klicken Sie auf Enable DNSSEC
Cloudflare zeigt den DS-Record an — kopieren Sie alle Felder (Key Tag, Algorithm, Digest Type, Digest)
Cloudflare verwendet standardmäßig ECDSA (Algorithmus 13) — den empfohlenen Algorithmus für neue DNSSEC-Setups. Die Schlüssel sind kompakt, die Validierung schnell, und die Sicherheit entspricht dem aktuellen Stand der Technik.
DS-Record beim Registrar hinterlegen
DNSSEC funktioniert nur, wenn der DS-Record bei Ihrem Domain-Registrar hinterlegt ist. Dieser Record verknüpft die Vertrauenskette von der übergeordneten Zone (z.B. .de) mit Ihrer Domain. Ohne DS-Record ist DNSSEC aktiviert, aber nicht validierbar.
| Registrar | Navigation |
|---|---|
| DENIC | domain.denic.de → DNSSEC |
| Namecheap | Domain List → Manage → Advanced DNS → DNSSEC |
| GoDaddy | My Products → DNS → DNSSEC |
| united-domains | Portfolio → Domain → DNSSEC |
| Strato | Domain-Verwaltung → DNS-Einstellungen → DNSSEC |
| Netcup | CCP → Domains → DNS → DNSSEC |
| INWX | Domain → DNSSEC → DS-Records verwalten |
dig +dnssec ihre-domain.de oder über DNSViz. CAA Records hinzufügen
CAA Records legen fest, welche Zertifizierungsstellen SSL/TLS-Zertifikate für Ihre Domain ausstellen dürfen. Bei Cloudflare konfigurieren Sie CAA Records über die DNS-Records-Seite — ohne CLI, direkt im Dashboard.
Klicken Sie auf Add record und wählen Sie den Typ CAA
Setzen Sie den Namen auf @ für die Root-Domain
Wählen Sie den Tag (issue, issuewild, iodef) und tragen Sie den Wert ein
Empfohlene CAA-Konfiguration für Cloudflare + Let's Encrypt
| Name | Tag | Value |
|---|---|---|
| @ | issue | letsencrypt.org |
| @ | issue | digicert.com |
| @ | issuewild | letsencrypt.org |
| @ | iodef | mailto:security@ihre-domain.de |
Cloudflare nutzt intern DigiCert und Let's Encrypt für SSL-Zertifikate. Wenn Sie Cloudflares Universal SSL oder Advanced Certificate Manager verwenden, benötigen Sie digicert.com als erlaubte CA. Ohne diesen Eintrag kann Cloudflare möglicherweise kein Zertifikat für Ihre Domain ausstellen.
Verifizierung
Prüfen Sie Ihre Konfiguration nach dem Speichern:
# DNSSEC prüfen
dig +dnssec ihre-domain.de
# CAA Records prüfen
dig CAA ihre-domain.de
# DNSSEC-Kette visualisieren
# https://dnsviz.net/
# CAA testen
# https://caatest.co.uk/ Wie steht Ihre Domain bei DNS-Sicherheit?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.