DNS-Sicherheit auf IONOS konfigurieren

CAA Records und DNSSEC in der IONOS DNS-Konsole einrichten — Zertifikatsausstellung kontrollieren und DNS-Antworten absichern.

DNS prüfen Plattform entdecken
IONOS · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

DNS-Sicherheit auf IONOS

DNS-Sicherheit umfasst CAA Records (kontrollieren, welche Zertifizierungsstellen Zertifikate für Ihre Domain ausstellen dürfen) und DNSSEC (schützt DNS-Antworten vor Manipulation). Zusammen sind sie mit 10 von 166 Punkten im Wolf-Agents Web Security Check vertreten.

Auf IONOS konfigurieren Sie beide Funktionen über das Control Panel — kein SSH oder Serverkonfiguration nötig. CAA Records legen Sie in der DNS-Konsole an, DNSSEC aktivieren Sie mit einem Klick. IONOS verwaltet die DNSSEC-Schlüssel automatisch.

Der Wolf-Agents Web Security Check prüft CAA Records und DNSSEC-Konfiguration automatisch und bewertet sie mit bis zu 10 Punkten. Beachten Sie, dass DNS-Änderungen bei IONOS bis zu 48 Stunden für die weltweite Propagation benötigen — starten Sie den Scanner erst nach der Propagation.

Ausführliche Einführung in DNS-Sicherheit

DNS-Sicherheit auf IONOS implementieren

Legen Sie CAA Records in der IONOS DNS-Konsole an und aktivieren Sie DNSSEC. Beide Einstellungen finden Sie unter Domains & SSL im IONOS Control Panel. Die DNS-Konfiguration funktioniert auf allen IONOS-Tarifen identisch — Shared Hosting, WordPress Hosting und vServer nutzen dieselbe DNS-Verwaltung.

CAA Records
IONOS DNS-KonsoleEmpfohlen
# CAA Records in der IONOS DNS-Konsole anlegen
# Typ: CAA | Name: @ | Wert: siehe unten

# Nur Let's Encrypt darf Zertifikate ausstellen
0 issue "letsencrypt.org"

# Wildcard-Zertifikate ebenfalls nur von Let's Encrypt
0 issuewild "letsencrypt.org"

# Benachrichtigung bei unautorisierten Zertifikatsanfragen
0 iodef "mailto:security@ihre-domain.de"
DNSSEC
IONOS Control PanelDNSSEC
# DNSSEC im IONOS Control Panel aktivieren:
# 1. Login → Domains & SSL → Domain auswählen
# 2. DNS-Einstellungen → DNSSEC
# 3. DNSSEC aktivieren (Button)
# IONOS verwaltet die DNSSEC-Schlüssel automatisch
DNS-Propagation beachten

DNS-Änderungen bei IONOS können bis zu 48 Stunden dauern, bis sie weltweit sichtbar sind. Prüfen Sie die Propagation mit dig @8.8.8.8 gegen einen externen DNS-Server.

Verifizierung

Prüfen Sie CAA Records und DNSSEC mit dig. Nutzen Sie einen externen DNS-Server wie 8.8.8.8, um die globale Propagation zu prüfen — der IONOS-eigene DNS-Server zeigt Änderungen sofort an, bevor sie weltweit sichtbar sind.

Tipp: Nutzen Sie dnsviz.net für eine visuelle DNSSEC-Analyse. Das Tool zeigt die gesamte DNSSEC-Kette von der Root-Zone bis zu Ihrer Domain und erkennt Konfigurationsfehler.
TerminalVerifizierung
# CAA Records prüfen
dig +short CAA ihre-domain.de

# Erwartete Ausgabe:
# 0 issue "letsencrypt.org"

# DNSSEC prüfen
dig +dnssec ihre-domain.de

# DNS-Propagation prüfen (kann bis zu 48h dauern)
dig @8.8.8.8 CAA ihre-domain.de

Häufige Fehler bei DNS-Sicherheit auf IONOS

DNS-Konfigurationsfehler sind besonders tückisch, da sie zeitverzögert auftreten — Änderungen werden erst nach der Propagation weltweit sichtbar. Testen Sie immer gegen einen externen DNS-Server wie 8.8.8.8, nicht gegen den IONOS-eigenen DNS-Server.

DNS-Propagation dauert bis zu 48h

Nach dem Anlegen von CAA Records oder der DNSSEC-Aktivierung kann es bis zu 48 Stunden dauern, bis die Änderungen global sichtbar sind. Nutzen Sie dig gegen externe DNS-Server, um den Propagation-Status zu prüfen.

CAA blockiert Zertifikatserneuerung

Wenn Sie CAA Records setzen und anschließend den SSL-Anbieter wechseln, kann die Zertifikatserneuerung fehlschlagen. Stellen Sie sicher, dass der in CAA hinterlegte Anbieter mit dem tatsächlich verwendeten übereinstimmt.

DNSSEC nicht verfügbar für externe Nameserver

DNSSEC kann bei IONOS nur aktiviert werden, wenn die Domain IONOS-Nameserver nutzt. Bei externen Nameservern (z.B. Cloudflare) müssen Sie DNSSEC beim jeweiligen DNS-Provider konfigurieren.

CAA Record vergessen bei Anbieterwechsel

Wenn Sie den SSL-Anbieter wechseln (z.B. von Let's Encrypt zu einem IONOS-Zertifikat), müssen Sie den CAA Record aktualisieren. Ohne passenden CAA Record schlägt die Zertifikatsausstellung fehl.

Compliance-Relevanz

DNS-Sicherheit schützt vor DNS-Spoofing und unautorisierter Zertifikatsausstellung. CAA Records verhindern, dass unbefugte Zertifizierungsstellen Zertifikate für Ihre Domain ausstellen.

NIS2Art. 21(e) — Sicherheit der Netz- und Informationssysteme, DNS-Infrastruktur
BSIBSI-Grundschutz — DNS-Sicherheit, Schutz vor DNS-Spoofing
CAB ForumBaseline Requirements — CAA-Checking vor Zertifikatsausstellung verpflichtend

Zusammenfassung

DNS-Sicherheit auf IONOS lässt sich vollständig über das Control Panel konfigurieren — ohne SSH oder Serverkonfiguration. CAA Records kontrollieren, welche Zertifizierungsstellen Zertifikate für Ihre Domain ausstellen dürfen. DNSSEC schützt DNS-Antworten vor Manipulation. Beide Maßnahmen ergänzen sich und sind mit wenigen Klicks aktiviert.

Beachten Sie die DNS-Propagationszeit von bis zu 48 Stunden. Prüfen Sie die Konfiguration mit dig gegen einen externen DNS-Server und starten Sie den Wolf-Agents Web Security Check erst nach erfolgter Propagation.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalDemnächstAll-InklShopwareDemnächstContaoDemnächstStratoJoomlaDemnächstPHPDemnächstSpring BootDemnächst

Wie steht Ihre Domain bei DNS-Sicherheit?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo