DNS-Sicherheit auf Hetzner konfigurieren

Schritt-für-Schritt-Anleitung: CAA Records in der Hetzner DNS Console setzen, DNSSEC-Limitation verstehen und bei Bedarf mit deSEC.io als externem Provider umsetzen.

DNS prüfen Plattform entdecken
Hetzner · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

DNS-Sicherheit auf Hetzner

DNS-Sicherheit umfasst zwei Technologien: CAA Records definieren, welche Zertifizierungsstellen TLS-Zertifikate für Ihre Domain ausstellen dürfen. DNSSEC signiert DNS-Antworten kryptographisch und schützt gegen DNS-Spoofing und Cache-Poisoning. Im Wolf-Agents Web Security Check bringt DNS-Sicherheit 5 von 166 Punkten.

Hetzner-spezifisch: Die Hetzner DNS Console (dns.hetzner.com) unterstützt CAA Records vollständig. DNSSEC wird jedoch nicht nativ unterstützt. Für DNSSEC benötigen Sie einen externen DNS-Provider wie deSEC.io oder Cloudflare, während Ihre Server weiterhin bei Hetzner gehostet bleiben.

Ausführliche Einführung in DNS-Sicherheit

1 Schritt 1 von 3

CAA Records in der Hetzner DNS Console setzen

Öffnen Sie dns.hetzner.com, wählen Sie Ihre Zone und fügen Sie CAA Records hinzu. Wenn Sie Let's Encrypt mit certbot nutzen (der Standard auf Hetzner), setzen Sie issue "letsencrypt.org". Ohne CAA Records kann jede CA ein Zertifikat für Ihre Domain ausstellen — ein Risiko für Man-in-the-Middle-Angriffe.

Hetzner DNS Console → Zone → Records Produktiv 
# CAA Records in der Hetzner DNS Console
# dns.hetzner.com → Zone wählen → Record hinzufügen

# Nur Let's Encrypt darf Zertifikate ausstellen
ihre-domain.de.  CAA  0 issue "letsencrypt.org"

# Wildcard-Zertifikate ebenfalls nur Let's Encrypt
ihre-domain.de.  CAA  0 issuewild "letsencrypt.org"

# Optional: Benachrichtigung bei Verstößen
ihre-domain.de.  CAA  0 iodef "mailto:security@ihre-domain.de"

# Falls Sie auch DigiCert-Zertifikate nutzen:
# ihre-domain.de.  CAA  0 issue "digicert.com"
Hetzner DNS Console: So setzen Sie CAA Records

1. Loggen Sie sich auf dns.hetzner.com ein. 2. Wählen Sie die Zone Ihrer Domain. 3. Klicken Sie auf „Record hinzufügen". 4. Typ: CAA. 5. Name: @ (für die Root-Domain). 6. Wert: 0 issue "letsencrypt.org". 7. Speichern. Wiederholen Sie für issuewild und iodef.

2 Schritt 2 von 3

DNSSEC-Limitation verstehen und Alternative wählen

Die Hetzner DNS Console bietet keine DNSSEC-Unterstützung. Das bedeutet: DNS-Antworten für Ihre Domain werden nicht kryptographisch signiert. Für viele Anwendungen ist das akzeptabel — CAA Records allein bieten bereits erheblichen Schutz. Wenn Sie DNSSEC benötigen (z.B. für NIS2-Compliance oder Behörden-Anforderungen), migrieren Sie den DNS-Dienst zu einem Provider, der DNSSEC nativ unterstützt.

Wichtig: DNS-Migration betrifft nur den DNS-Dienst. Ihre Server, Daten und Anwendungen bleiben auf Hetzner. Sie ändern lediglich die NS-Records beim Domain-Registrar, damit DNS-Anfragen an den neuen Provider gehen. Die A-Records zeigen weiterhin auf Ihre Hetzner-IP.
DNSSEC mit deSEC.io (kostenlos, DSGVO-konform) Alternative 
# DNSSEC mit deSEC.io (kostenloser DNS-Provider)
# 1. Account erstellen: desec.io/signup
# 2. Domain hinzufügen → NS-Records notieren
# 3. Beim Domain-Registrar NS-Records ändern:
ns1.desec.io
ns2.desec.org

# 4. deSEC aktiviert DNSSEC automatisch
# 5. DS-Record beim Registrar hinterlegen
#    (deSEC zeigt den DS-Record im Dashboard)

# Wichtig: A-Record weiterhin auf Hetzner-IP zeigen!
ihre-domain.de.  A  46.224.182.93
3 Schritt 3 von 3

DNS-Konfiguration verifizieren

Prüfen Sie CAA Records und DNSSEC-Status mit dig. Beachten Sie: DNS-Sicherheit wird nicht mit curl geprüft — es handelt sich um DNS-Records, nicht um HTTP-Header.

Terminal Verifizierung 
# CAA Records prüfen
dig +short CAA ihre-domain.de
# Erwartete Ausgabe:
# 0 issue "letsencrypt.org"
# 0 issuewild "letsencrypt.org"
# 0 iodef "mailto:security@ihre-domain.de"

# DNSSEC prüfen (nur wenn externer DNS-Provider)
dig +dnssec ihre-domain.de
# Bei aktivem DNSSEC: flags: [...] ad
# Das "ad" (Authenticated Data) Flag zeigt DNSSEC-Validierung

# DNSSEC-Kette mit Drill (Alternative zu dig)
drill -DT ihre-domain.de

Häufige Fehler bei DNS-Sicherheit auf Hetzner

Hetzner DNS unterstützt kein DNSSEC

Die häufigste Fehleinschätzung: Admins nehmen an, dass DNSSEC „irgendwo in den Einstellungen" der Hetzner DNS Console aktivierbar ist. Das ist nicht der Fall. Hetzner DNS bietet aktuell keine DNSSEC-Signierung. Wenn Sie DNSSEC benötigen, müssen Sie den DNS-Dienst zu einem anderen Provider migrieren.

CAA Records nach Domain-Transfer fehlen

Beim Transfer einer Domain zu einem neuen Registrar oder DNS-Provider gehen CAA Records oft verloren. Prüfen Sie nach jedem Transfer mit dig +short CAA ihre-domain.de, ob die Records noch vorhanden sind. Leere Ausgabe bedeutet: keine CAA Records gesetzt.

Wildcard-CAA vergessen

Ein issue-Record allein deckt keine Wildcard-Zertifikate ab. Wenn Sie ein Wildcard-Zertifikat (*.ihre-domain.de) mit certbot nutzen, benötigen Sie zusätzlich einen issuewild-Record. Ohne diesen Record wird die CA das Wildcard-Zertifikat ablehnen.

Compliance-Relevanz

NIS2 Art. 21(e) fordert die Sicherheit bei Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen — DNS-Infrastruktur gehört explizit dazu. Das BSI empfiehlt DNSSEC als Schutz gegen DNS-Spoofing. CAA Records sind eine ergänzende Maßnahme, die das Risiko unautorisierter Zertifikatsausstellung minimiert. Der Wolf-Agents Web Security Check bewertet DNS-Sicherheit mit bis zu 5 Punkten.

NIS2 Art. 21(e) — Sicherheit der Netz- und Informationssysteme inkl. DNS
BSI Empfehlung für DNSSEC-Aktivierung als Schutz gegen DNS-Spoofing

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3Laravel

Wie steht Ihre Domain bei DNS-Sicherheit?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo