DNS-Sicherheit bei Cloudflare einrichten

DNSSEC mit einem Klick aktivieren, DS-Record beim Registrar hinterlegen und CAA Records für kontrollierte Zertifikatsausstellung konfigurieren — alles über das Cloudflare Dashboard.

Cloudflare DNS · Schritt für Schritt

DNSSEC und CAA bei Cloudflare

Cloudflare macht DNS-Sicherheit besonders einfach: DNSSEC lässt sich mit einem Klick im Dashboard aktivieren — Cloudflare generiert und verwaltet die kryptographischen Schlüssel automatisch. CAA Records konfigurieren Sie über die DNS-Records-Seite. Beides zusammen schützt Ihre Domain gegen DNS-Manipulation und unbefugte Zertifikatsausstellung.

DNS-Sicherheit ist mit 5 Bonus-Punkten im Wolf-Agents Web Security Check bewertet. Cloudflare-Nutzer können beide Maßnahmen in unter 15 Minuten konfigurieren — ohne CLI, ohne Zugriff auf Nameserver-Konfiguration.

1 Schritt 1 von 3

DNSSEC im Cloudflare Dashboard aktivieren

Cloudflare übernimmt die komplette DNSSEC-Schlüsselgenerierung und -verwaltung. Sie müssen nur die Aktivierung auslösen und den angezeigten DS-Record bei Ihrem Registrar eintragen. ZSK-Rollovers führt Cloudflare automatisch durch.

1
DNS → Settings

Öffnen Sie Ihre Domain im Cloudflare Dashboard und navigieren Sie zu den DNS-Einstellungen

2
DNSSEC → Enable DNSSEC

Scrollen Sie zum DNSSEC-Abschnitt und klicken Sie auf Enable DNSSEC

3
DS-Record kopieren

Cloudflare zeigt den DS-Record an — kopieren Sie alle Felder (Key Tag, Algorithm, Digest Type, Digest)

Algorithmus: ECDSAP256SHA256

Cloudflare verwendet standardmäßig ECDSA (Algorithmus 13) — den empfohlenen Algorithmus für neue DNSSEC-Setups. Die Schlüssel sind kompakt, die Validierung schnell, und die Sicherheit entspricht dem aktuellen Stand der Technik.

2 Schritt 2 von 3

DS-Record beim Registrar hinterlegen

DNSSEC funktioniert nur, wenn der DS-Record bei Ihrem Domain-Registrar hinterlegt ist. Dieser Record verknüpft die Vertrauenskette von der übergeordneten Zone (z.B. .de) mit Ihrer Domain. Ohne DS-Record ist DNSSEC aktiviert, aber nicht validierbar.

Registrar Navigation
DENIC domain.denic.de → DNSSEC
Namecheap Domain List → Manage → Advanced DNS → DNSSEC
GoDaddy My Products → DNS → DNSSEC
united-domains Portfolio → Domain → DNSSEC
Strato Domain-Verwaltung → DNS-Einstellungen → DNSSEC
Netcup CCP → Domains → DNS → DNSSEC
INWX Domain → DNSSEC → DS-Records verwalten
Die DS-Record-Propagation kann bis zu 48 Stunden dauern. Prüfen Sie den Status mit dig +dnssec ihre-domain.de oder über DNSViz.
Bei Problemen: Entfernen Sie immer erst den DS-Record beim Registrar, bevor Sie DNSSEC bei Cloudflare deaktivieren. Die umgekehrte Reihenfolge führt dazu, dass Ihre Domain als BOGUS markiert wird und nicht mehr erreichbar ist.
3 Schritt 3 von 3

CAA Records hinzufügen

CAA Records legen fest, welche Zertifizierungsstellen SSL/TLS-Zertifikate für Ihre Domain ausstellen dürfen. Bei Cloudflare konfigurieren Sie CAA Records über die DNS-Records-Seite — ohne CLI, direkt im Dashboard.

1
DNS → Records → Add record

Klicken Sie auf Add record und wählen Sie den Typ CAA

2
Name: @ (Root-Domain)

Setzen Sie den Namen auf @ für die Root-Domain

3
Tag und Value konfigurieren

Wählen Sie den Tag (issue, issuewild, iodef) und tragen Sie den Wert ein

Empfohlene CAA-Konfiguration für Cloudflare + Let's Encrypt

Name Tag Value
@ issue letsencrypt.org
@ issue digicert.com
@ issuewild letsencrypt.org
@ iodef mailto:security@ihre-domain.de
Warum DigiCert als zweite CA?

Cloudflare nutzt intern DigiCert und Let's Encrypt für SSL-Zertifikate. Wenn Sie Cloudflares Universal SSL oder Advanced Certificate Manager verwenden, benötigen Sie digicert.com als erlaubte CA. Ohne diesen Eintrag kann Cloudflare möglicherweise kein Zertifikat für Ihre Domain ausstellen.

Verifizierung

Prüfen Sie Ihre Konfiguration nach dem Speichern:

Terminal Verifizierung
# DNSSEC prüfen
dig +dnssec ihre-domain.de

# CAA Records prüfen
dig CAA ihre-domain.de

# DNSSEC-Kette visualisieren
# https://dnsviz.net/

# CAA testen
# https://caatest.co.uk/

Wie steht Ihre Domain bei DNS-Sicherheit?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.